Upgrade to Pro — share decks privately, control downloads, hide ads and more …

freee のマイクロサービス化を支える InternalSession / internal...

freee
April 20, 2023
Technology
0
20k

freee のマイクロサービス化を支える InternalSession / internal-session-for-microsevices

freee

April 20, 2023
Tweet

More Decks by freee

See All by freee
freeeのモバイルエンジニアについて
freee
1
120
10分でわかるfreeeのQA
freee
1
3.5k
10分でわかるfreee エンジニア向け会社説明資料
freee
18
520k
freee株式会社の福利厚生と働き方
freee
1
64k
品質の高速フィードバックへの取り組み / Commitment to Fast Quality Feedback
freee
3
930
組織作りに「プロダクト開発のエッセンス」 を取り入れ、不確実性に向き合い続ける / Incorporating the “essence of product development” into organizational development and continuing to face uncertainty
freee
0
1.9k
LGBTQ__support_WOMEN_女性として働くということ_DEI
freee
2
470
QAエンジニア_Summer Internship説明会(26卒)
freee
0
250
権限管理基盤の開発とQAの今 / Authority Management Infrastructure Development and QA Now
freee
1
3k

Other Decks in Technology

See All in Technology
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
いざ、BSC討伐の旅
nikinusu
2
780
TypeScript、上達の瞬間
sadnessojisan
46
13k
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
430
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
Platform Engineering for Software Developers and Architects
syntasso
1
520
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
620
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.6k
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
スクラム成熟度セルフチェックツールを作って得た学びとその活用法
coincheck_recruit
1
140

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
What's in a price? How to price your products and services
michaelherold
243
12k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Typedesign – Prime Four
hannesfritz
40
2.4k
A Philosophy of Restraint
colly
203
16k
Git: the NoSQL Database
bkeepers
PRO
427
64k
We Have a Design System, Now What?
morganepeng
50
7.2k
Statistics for Hackers
jakevdp
796
220k
Become a Pro
speakerdeck
PRO
25
5k

Transcript

  1. freee のマイクロサービス化 を⽀える InternalSession 横塚 直 2023年4⽉16⽇

  2. ここに円に切り抜いた画像を入れてく ださい 横塚 直 2022年新卒⼊社。 配属後はサービス基盤で、共通ライブラリや ミドルウェアの実装を担当しています。 サービス基盤エンジニア

  3.   お題⽬ Ruby on Rails の セッション管理実装 freee における セッション管理実装

    セッション管理の課題 と InternalSession 01 02 03

  4. freee のプロダクトラインアップ freee会計 freee開業 freee福利厚⽣ freeeアプリストア freee⼈事労務 freee会社設⽴ freee受発注 freeeプロジェクト管理

    freee資⾦調達 freee申告 freeeカード

  5. freee の “プロダクト” とは • freee が提供するプロダクトの⼤部分は Web アプリケーション •

    Web アプリケーションは HTTP リクエストに対してレスポンスを 返すことによって動作する freee のサーバー freee 会計のホーム 画面出して下さい! 確定申告のページ 出して!

  6. Web アプリではセッション管理が必要 • HTTP はステートレス ◦ ログイン状態を保持できない • 特定のクライアントからの⼀連の HTTP

    リクエストの間で情報を 共有する仕組みが必要 セッション管理なしではユーザーが認証されていることを 確認することが困難 イマドキの Web アプリではほぼ必須!

  7. セッション情報の具体例 • ログインユーザーのID • テナントID ◦ freee では事業所のID • セッション情報の作成⽇時

    { "user_id": 5135567, "created_at": "2023-04-01 19:57:07 +0900" }

  8. セッション管理の⼀般的な実装 Ruby on Rails にはセッション管理の実装が⼤きく分けて2種類ある   ソースコード • ActionDispatch::Session::CookieStore • ActionDispatch::Session::CacheStore

    CookieStore CacheStore

  9. CookieStore vs CacheStore CookieStore CacheStore セッション情報の 保存場所 Cookie データベース (Redis

    等のKVS) Cookie に保存する 情報 セッション情報そのもの セッションID

  10. CookieStore vs CacheStore 〜具体例〜 Set-Cookie: _techday_playground_session=ta%2BbFJv9Rdg0oyUvjTHdDrS8zmh61ky%2B8s3RosaItNQWKUJaJH6ZiqJWF1rT z4%2Bskb3nLmojuVL9JarpbVpxcaJ61P184x3JQ68DXE2nTyc9MP2U9hZLFVcbzjuTCq2VdMOQvuaA80D%2FuS1fnDmj 0CkFT3iAH3hR9tIOJEX9TKb8ysIvnxcsMAOKs5M0Zj2V5CbPiqqeLhpl%2FyhMv%2BbiYdfc1763yGwo8h0qkQ3nXIe7 yRTwXw07ETPyLHKggisLo0as0WhqmhZoP66xvnfiQ%2BftXHb6onLecVWyuzfUU8FMf0GnUYU4W43%2BB67NsR%2FK5z eG1r9dqfS6GkYmsj4MsbWl00qnKsOU0vPXejkezZ6E1u6tC4Ni7D2plfgORUzQ%2FNX1cY4ccTJWqmtcE9gL%2FlcKsa

    jdxUw143ksIGGPmqIwf0%2BR4UUUh5o6qm8DRmMtSZo2hUPxi8%2BFUKEAFZhKq1p5HGTESp%2Bfgcv2QKItvmpgZDv5 mUYVB3rKzINO8gmx1mIL4WgccEs2%2Bd5a%2FNxB6poXAjxFhZrx2cQykCkqt1g%3D--q9T9QbmdBvz%2FNG00--Uj0m Ph1muIKueQsw545Stg%3D%3D; path=/; HttpOnly; SameSite=Lax Set-Cookie: _session_id=03c49969faae6e6a187b0ecdcc203c2d; path=/; HttpOnly CookieStore CacheStore

  11. CookieStore vs CacheStore 〜Pros & Cons〜 CookieStore CacheStore Pros 外部リクエスト不要

    Revoke が容易 Cons Revoke が難しい DBアクセスがオーバーヘッド になる CookieStoreは、Railsで推奨されているデフォルトのセッションストアであり、例外的に すべてのセッションデータをcookie⾃⾝に保存します(必要に応じてセッションIDも利⽤ 可能です)。CookieStoreには⾮常に軽量であるというメリットがあり、新規Webアプリ ケーションでセッションを利⽤するための準備も不要です。 Rails ガイド ActionController の概要 5 セッション

  12. CookieStore vs CacheStore 〜Revoke〜 • Revoke = 取り消し • CacheStore

    の場合、セッション情報はサーバーサイドに保存される ので、セッションIDが漏洩した場合はデータベースの管理者権限があ れば容易に取り消せる • ⼀⽅で、CookieStore はセッション情報をクライアントサイドに保存 するため、取り消しは難しい

  13. freee のセッション管理実装 〜概略〜 • Ruby on Rails における CacheStore の実装に近い

    • セッション情報そのものは Redis に保存して、Cookie には セッションIDを保存する • セッション管理を担当する共通の認証サーバーがいる サービスB サービスC サービスA 認証サーバー

  14. freee のセッション管理実装 〜シーケンス〜

  15. freee のセッション管理の課題 サービスA ①リクエスト ②リクエスト ③レスポンス ⑧レスポンス ④リクエスト ⑤レスポンス ⑥リクエスト

    ⑦レスポンス サービスD サービスC サービスB • システムが⼤きくなってこんな感じに...

  16. • 都度都度、認証サーバーへのリクエストが必要 freee のセッション管理の課題 サービスA ①リクエスト ②リクエスト ③レスポンス ⑧レスポンス ④リクエスト

    ⑤レスポンス ⑥リクエスト ⑦レスポンス サービスD サービスC サービスB 認証 サーバー

  17. マルチサービスにおけるセッション管理のツラミ • 認証サーバーへ負荷がかかる • 認証サーバーへのリクエストがオーバーヘッドになる • クライアント側からの1リクエストに対して複数回認証サーバーに アクセスするのは無駄が多いようにも思える 今後のサービス数の増加や マイクロサービス化を考えると

    セッション管理がボトルネック になるかもしれない

  18. そこで登場するのが InternalSession • 内部通信におけるセッション管理を効率化する仕組み ◦ サービス基盤チームで開発‧導⼊中 • どんな仕組みか? ◦ セッション情報をエンコードして⽣成したトークンを

    HTTP ヘッダーに付与する ◦ ※内部通信でのみ使⽤可能 セッション情報を丸ごとやりとりする CookieStore に似た仕組み

  19. The Structure of InternalSession • “.” 区切りの⽂字列で3つのパートからなる ◦ ヘッダー ◦

    ペイロード ◦ 署名 • ペイロードはセッション情報そのもの、署名は改竄防⽌⽬的で付与 “EgVlY2RzYQ==.Cg4KDAiM4qChBhCUjszqAQ==.MEUCIQCXvGZSJGlY uBhP8wLzWMqc3Bcp5GqPqzIMru2fwwl5OgIgCZ28dxlybF9VfyWfS1 +oHNsxUOdLMeyaNutOjtztSRA=” セッション情報を含んだ文字列を HTTP ヘッダに付与する JWT (JSON Web Token) と似た構造

  20. InternalSession 導⼊前 再度認証サーバーに アクセス

  21. InternalSession 導⼊後 内部通信の前に生成 認証サーバへアクセス不要

  22. InternalSession vs 既存のセッション管理 InternalSession 既存のセッション管理 Pros 認証サーバーへの リクエスト不要 Revoke が容易

    Cons Revoke 不可 認証サーバーへの アクセス回数多 CookieStore vs CacheStore と 同じようなトレードオフがある!

  23. CookieStore vs CacheStore 〜Pros & Cons〜 the CookieStore - which

    stores all session data in the cookie itself (the ID is still available to you if you need it). This has the advantage of being very lightweight, and it requires zero setup in a new application to use the session. https://guides.rubyonrails.org/action_controller_overview.html#session CookieStore CacheStore Pros 外部リクエスト不要 Revoke が容易 Cons Revoke が難しい DBアクセスがオーバーヘッド になる

  24. つまりどういうことか? • セッション情報を丸ごとやりとりする InternalSession や CookieStore は早くて外部への依存もないが、Revoke が難しい • セッション情報を都度問い合わせるようにすると、Revoke

    は 容易だがパフォーマンス問題を引き起こす可能性がある 外部との通信でやりとりするのはセッションIDにして、 freee 内部の通信ではセッション情報をそのままやりとりする。 パフォーマンスとセキュリティを両⽴を狙った施策が InternalSession

  25. まとめ • Webアプリケーションにおいてはセッション管理が必須 • Ruby on Rails の2つのセッション管理実装には、パフォーマンスと セキュリティのトレードオフが存在する •

    freee においては都度都度認証サーバーに問い合わせる形式を採⽤ していたが、サービス数の増加等を⾒据えるとボトルネックになる 可能性が想定された • 対抗策として、InternalSession の開発導⼊を進めている
  26. None