Sto lavorando su un'API di autenticazione che gli utenti oi client utilizzeranno le credenziali di accesso POST come nome utente / password o ID client / segreto per ottenere un token di accesso. Questo servizio potrebbe avere traffico piuttosto elevato.
Un'idea che è stata lanciata per gestire il traffico elevato è quella di memorizzare i token nella cache in modo tale che quando gli utenti oi client richiedono un token prima della scadenza del token precedente, troviamo semplicemente il loro token nella cache in base al loro nome utente / password e restituiscono il token senza generarne uno nuovo. A proposito, la generazione di un token nel nostro sistema richiede un paio di altre richieste web ad altri servizi.
Alcuni membri del team ritenevano che ciò fosse ragionevole, mentre altri ritenevano che memorizzare nella cache il nome utente / password come chiave e il token come valore nella cache potesse costituire un rischio per la sicurezza.
Questo suona come un approccio ragionevole o è meglio fare affidamento su utenti e client che memorizzano nella cache i propri token in modo che non continuino a richiedere token?