Google Secret Manager - 可以用来存储 API 用户的用户名和密码吗?
Google Secret Manager - Can it be used for storing usernames and passwords of API users?
考虑接收 HTTPS 请求并使用 HTTP 基本身份验证的 API。每当它收到请求时,应用程序需要检查 header 中的 username/password 组合是否有效。可以有成千上万的用户,每个用户都有自己的密钥。
我想知道 Google Secret Manager 是否适合这个用例。即:
- 我可以将每个 API username/password 存储在 Secret Manager 中,使用用户名作为秘密 ID。
- 然后,无论何时收到请求,应用程序都会:(1) 查找授权 header 中存在的用户名的凭据,(2) 将 header 密码与密码进行比较从 Secret Manager 检索,(3) 如果不匹配则拒绝请求。
对于上述情况,Google Secret Manager 是否有效且可取?
这在技术上是可行的,因为 GCP 项目中的机密数量没有限制。但是,它可能很快就会变得昂贵。每个秘密是 0.06 美元/月。这意味着每个用户每年花费 0.72 美元。 100 万用户,即每年 72 万美元 + API 运营成本。
还有延迟需要考虑。您需要在用户请求的上下文中对 Secret Manager 进行 API 调用。这很容易使往返延迟加倍。您考虑的架构是正确的,但 Secret Manager 并不是真正的 LDAP 或身份验证服务器。
考虑接收 HTTPS 请求并使用 HTTP 基本身份验证的 API。每当它收到请求时,应用程序需要检查 header 中的 username/password 组合是否有效。可以有成千上万的用户,每个用户都有自己的密钥。
我想知道 Google Secret Manager 是否适合这个用例。即:
- 我可以将每个 API username/password 存储在 Secret Manager 中,使用用户名作为秘密 ID。
- 然后,无论何时收到请求,应用程序都会:(1) 查找授权 header 中存在的用户名的凭据,(2) 将 header 密码与密码进行比较从 Secret Manager 检索,(3) 如果不匹配则拒绝请求。
对于上述情况,Google Secret Manager 是否有效且可取?
这在技术上是可行的,因为 GCP 项目中的机密数量没有限制。但是,它可能很快就会变得昂贵。每个秘密是 0.06 美元/月。这意味着每个用户每年花费 0.72 美元。 100 万用户,即每年 72 万美元 + API 运营成本。
还有延迟需要考虑。您需要在用户请求的上下文中对 Secret Manager 进行 API 调用。这很容易使往返延迟加倍。您考虑的架构是正确的,但 Secret Manager 并不是真正的 LDAP 或身份验证服务器。