考虑一个接收HTTPS请求并使用HTTP基本身份验证的API。每当收到请求时,应用程序都需要检查标头中的用户名/密码组合是否有效。可能有成千上万的用户,每个用户都有自己的密钥。
我想知道谷歌秘密管理器是否适合这个用例。即:
- 我可以将每个API用户名/密码存储在Secret Manager中,使用用户名作为机密ID
- 然后,每当收到请求时,应用程序都会:(1(查找Authorization标头中存在的用户名的凭据,(2(将标头密码与从Secret Manager检索到的密码进行比较,(3(如果不匹配,则拒绝请求
在上述情况下,谷歌秘密管理器是否有效且可取?
这在技术上是可能的,因为GCP项目中的秘密数量没有限制。然而,它可能很快变得昂贵。每个秘密是0.06美元/月。这意味着每个用户每年要花费0.7美元。对于100万用户,这是72万美元/年+API运营成本。
还有延迟需要考虑。您需要在用户请求的上下文中对Secret Manager进行API调用。这可以很容易地将往返延迟增加一倍。您所考虑的体系结构是正确的,但Secret Manager并不是真正的LDAP或身份验证服务器。