Mise en cache du fournisseur oidc pour réduire la pression sur l'endpoint d'auto-configuration #47

New Issue

Closed

opened 2025-03-07 10:10:38 +01:00 by wpetit · 0 comments

wpetit commented 2025-03-07 10:10:38 +01:00

Owner

Copy Link

Description

Il est nécessaire de mettre en cache le oidc.Provider dans la méthode getClient() de internal/proxy/director/layer/authn/oidc/authenticator.go afin de diminuer la pression sur l'endpoint HTTP d'auto-configuration (.well-known/openid-configuration) du serveur Ory Hydra. Cela peut être réalisé en stockant le fournisseur OIDC dans un cache pour une période déterminée, de sorte que les requêtes répétées à la même URL d'émetteur n'entraînent pas la création de nouveaux fournisseurs OIDC à chaque fois.

Détails d'implémentation

Pour mettre en œuvre ce changement, les étapes suivantes peuvent être suivies :

1. Création d'un cache : Un cache peut être créé pour stocker les fournisseurs OIDC. Ce cache peut être basé sur une carte (map) où la clé est l'URL de l'émetteur et la valeur est le fournisseur OIDC correspondant.
2. Modification de la méthode getClient() : Avant de créer un nouveau fournisseur OIDC, la méthode getClient() doit vérifier si un fournisseur pour l'URL d'émetteur donnée est déjà présent dans le cache. Si c'est le cas, elle retourne le fournisseur en cache. Sinon, elle crée un nouveau fournisseur, le stocke dans le cache et le retourne.
3. Gestion de la durée de vie du cache : Pour éviter que les fournisseurs OIDC ne restent en cache indéfiniment, une durée de vie peut être définie pour chaque entrée du cache. Une fois cette durée écoulée, le fournisseur est supprimé du cache, ce qui permet de mettre à jour les informations de configuration si nécessaire.
4. Gestion des erreurs : Il est important de gérer correctement les erreurs qui pourraient survenir lors de la création d'un fournisseur OIDC ou lors de l'accès au cache. Les erreurs doivent être propagées et gérées de manière appropriée pour assurer la stabilité du système.

Tests d'acceptation

Les tests d'acceptation pour cette fonctionnalité devraient inclure les scénarios suivants :

1. Accès à un fournisseur OIDC avec mise en cache : Vérifier que le fournisseur OIDC est correctement mis en cache et réutilisé lors de requêtes ultérieures à la même URL d'émetteur.
2. Mise à jour du fournisseur OIDC après expiration de la durée de vie du cache : Vérifier que le fournisseur OIDC est correctement mis à jour après l'expiration de la durée de vie du cache.
3. Gestion des erreurs : Vérifier que les erreurs sont correctement gérées et propagées lors de la création d'un fournisseur OIDC ou lors de l'accès au cache.
4. Performances : Vérifier que la mise en cache du fournisseur OIDC améliore les performances en réduisant le nombre de requêtes à l'endpoint d'auto-configuration du serveur Ory Hydra.

## Description Il est nécessaire de mettre en cache le `oidc.Provider` dans la méthode `getClient()` de `internal/proxy/director/layer/authn/oidc/authenticator.go` afin de diminuer la pression sur l'endpoint HTTP d'auto-configuration (`.well-known/openid-configuration`) du serveur Ory Hydra. Cela peut être réalisé en stockant le fournisseur OIDC dans un cache pour une période déterminée, de sorte que les requêtes répétées à la même URL d'émetteur n'entraînent pas la création de nouveaux fournisseurs OIDC à chaque fois. ## Détails d'implémentation Pour mettre en œuvre ce changement, les étapes suivantes peuvent être suivies : 1. **Création d'un cache** : Un cache peut être créé pour stocker les fournisseurs OIDC. Ce cache peut être basé sur une carte (`map`) où la clé est l'URL de l'émetteur et la valeur est le fournisseur OIDC correspondant. 2. **Modification de la méthode `getClient()`** : Avant de créer un nouveau fournisseur OIDC, la méthode `getClient()` doit vérifier si un fournisseur pour l'URL d'émetteur donnée est déjà présent dans le cache. Si c'est le cas, elle retourne le fournisseur en cache. Sinon, elle crée un nouveau fournisseur, le stocke dans le cache et le retourne. 3. **Gestion de la durée de vie du cache** : Pour éviter que les fournisseurs OIDC ne restent en cache indéfiniment, une durée de vie peut être définie pour chaque entrée du cache. Une fois cette durée écoulée, le fournisseur est supprimé du cache, ce qui permet de mettre à jour les informations de configuration si nécessaire. 4. **Gestion des erreurs** : Il est important de gérer correctement les erreurs qui pourraient survenir lors de la création d'un fournisseur OIDC ou lors de l'accès au cache. Les erreurs doivent être propagées et gérées de manière appropriée pour assurer la stabilité du système. ## Tests d'acceptation Les tests d'acceptation pour cette fonctionnalité devraient inclure les scénarios suivants : 1. **Accès à un fournisseur OIDC avec mise en cache** : Vérifier que le fournisseur OIDC est correctement mis en cache et réutilisé lors de requêtes ultérieures à la même URL d'émetteur. 2. **Mise à jour du fournisseur OIDC après expiration de la durée de vie du cache** : Vérifier que le fournisseur OIDC est correctement mis à jour après l'expiration de la durée de vie du cache. 3. **Gestion des erreurs** : Vérifier que les erreurs sont correctement gérées et propagées lors de la création d'un fournisseur OIDC ou lors de l'accès au cache. 4. **Performances** : Vérifier que la mise en cache du fournisseur OIDC améliore les performances en réduisant le nombre de requêtes à l'endpoint d'auto-configuration du serveur Ory Hydra.

wpetit referenced this issue from a commit 2025-03-07 10:11:44 +01:00

feat: cache oidc.Provider to reduce pressure on OIDC identity provider (#47)

wpetit referenced this issue 2025-03-07 10:11:54 +01:00

Mise en cache des fournisseurs oidc pour améliorer les performances #48

wpetit referenced this issue 2025-03-07 10:13:37 +01:00

Mise en cache des fournisseurs oidc pour améliorer les performances #48

wpetit referenced this issue from a commit 2025-03-07 11:15:31 +01:00

feat: cache oidc.Provider to reduce pressure on OIDC identity provider (#47)

wpetit closed this issue 2025-03-07 13:44:29 +01:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

No results found.

v2025.4.3-9d10a69

v2025.3.19-8b6e75a

v2025.3.18-692523e

v2025.3.18-59ecfa7

v2025.3.18-cc5cdce

v2025.3.18-1af7248

v2025.3.17-8b132dd

v2025.3.10-6a4a144

v2025.3.7-ac7b7e8

v2025.3.7-076a3d7

v2024.11.14-ce7415a

v2024.11.8-74c2a2c

v2024.11.8-239d457

v2024.11.8-cffe3ec

v2024.10.21-a686c52

v2024.10.11-8983a44

v2024.10.2-69501f6

v2024.9.27-0ff9391

v2024.9.27-590505e

v2024.9.27-867e7c5

v2024.9.26-169578c

v2024.9.26-b0a71fc

v2024.9.25-eea51c6

v2024.9.25-cb9260a

v2024.9.25-0b032fc

v2024.9.23-f374250

v2024.9.23-4801974

v2024.9.23-bf15732

v2024.6.28-f35384c

v2024.6.28-c73fe8c

v2024.6.27-3c1939f

v2024.6.27-3565618

v2024.6.27-d5669a4

v2024.6.27-f3aa8b9

v2024.6.27-2de5e28

v2024.6.27-87e1c65

v2024.6.26-f092520

v2024.6.26-9084b6e

v2024.6.26-059af1b

v2024.6.26-49f2ccb

v2024.6.26-8a751af

v2024.6.25-1146089

v2024.6.25-9d902a7

v2024.6.25-ea68724

v2024.6.24-1009eb1

v2024.6.5-19fda6a

v2024.6.5-65238f1

v2024.6.5-d4da9cb

v2024.5.29-2952f68

v2024.5.29-3e98901

v2024.5.28-d667bb0

v2024.5.28-42dab57

v2024.5.28-132bf1e

v2024.5.22-499bb36

v2024.5.22-920fc1a

v2024.5.22-5720935

v2024.5.21-0d4319f

v2024.5.21-c4dcf57

v2024.5.21-db09533

v2024.5.17-6d0a382

v2024.5.17-28ef57b

v2024.5.17-8b1c649

v2024.5.17-5ed1946

v2024.5.17-7456dba

v2024.5.17-af34ee2

v2024.4.19-bb5796a

v2024.4.5-83fcb9a

v2024.3.29-ad90757

v2024.3.29-3a89497

v2024.3.29-274bef1

v2024.3.28-f548c8c

v2024.3.28-a82fe46

v2024.3.28-3571742

v2024.3.27-1630546

v2024.3.27-d8b78ad

v2024.3.26-61012b0

v2024.3.26-441d3a6

v2024.3.25-734ed64

v2024.2.21-c8fc143

v2024.2.21-f91c14e

v2024.2.5-1602626

v2024.2.5-c23d8e3

v2024.2.5-5453988

v2023.7.8-b44ff2a

v2023.7.7-2b91c1e

v2023.7.7-cebf1da

v2023.7.7-fc983ea

v2023.7.7-6734cf6

v2023.7.6-33a9787

v2023.7.6-553513d

v2023.7.6-64b5182

v2023.7.5-ce2c19f

v2023.7.5-1ffec1f

v2023.7.5-aab5452

v2023.7.5-a176b75

v2023.7.5-7b04eb2

v2023.7.4-5bd7cbc

v2023.7.1-1b06f07

v2023.7.1-b78bcf0

v2023.7.1-82228fd

v2023.7.1-15daddb

v2023.7.1-5a7062d

v2023.6.30-74409f1

v2023.6.30-ab7f64a

v2023.6.30-5bf391b

v2023.6.30-74928fe

v2023.6.30-ff1d018

v2023.6.29-e0d81c0

v2023.6.26-440d467

v2023.6.26-f8d3329

v2023.6.26-6fed635

v2023.6.24-ef869a0

v2023.6.23-8d91f64

v2023.6.23-e32c72e

v2023.6.23-8d21e90

v2023.6.13-2a88494

v2023.5.28-830d4d3

v2023.5.28-7a45a5b

v2023.5.28-8f0501b

v2023.5.21-e66938f

v2023.5.21-b651fec

v2023.5.21-d56a3c6

v2023.5.18-59c0865

v2023.5.18-fe2ee90

v2023.5.16-f9a6a3a

v2023.5.15-b0f3cba

v2023.5.13-3e69a2f

v2023.5.12-af4e8e5

v2023.5.2-ac21629

v2023.5.2-ce8ff3c

Labels

Clear labels

Kind/Breaking

Breaking change that won't be backward compatible

Kind/Bug

Something is not working

Kind/Documentation

Documentation changes

Kind/Enhancement

Improve existing functionality

Kind/Feature

New functionality

Kind/Security

This is security issue

Kind/Testing

Issue or pull request related to testing

Priority

Critical

The priority is critical

Priority

High

The priority is high

Priority

Low

The priority is low

Priority

Medium

The priority is medium

Reviewed

Confirmed

Issue has been confirmed

Reviewed

Duplicate

This issue or pull request already exists

Reviewed

Invalid

Invalid issue

Reviewed

Won't Fix

This issue won't be fixed

Status

Abandoned

Somebody has started to work on this but abandoned work

Status

Blocked

Something is blocking this issue or pull request

Status

Need More Info

Feedback is required to reproduce issue or to continue work

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: Cadoles/bouncer#47

No description provided.