Upgrade to Pro — share decks privately, control downloads, hide ads and more …

freee のマイクロサービス化を支える InternalSession / internal-session-for-microsevices

freee
April 20, 2023
Technology
0
17k

freee のマイクロサービス化を支える InternalSession / internal-session-for-microsevices

freee

April 20, 2023
Tweet

More Decks by freee

See All by freee
巨大なテーブルのテーブル定義を無停止で安全に誰でも変更できるようにする / Table-definitions-for-huge-tables-can-be-modified-by-anyone-safely-and-non-disruptively
freee
1
830
合理的配慮を知るワークショップ/Understanding Reasonable Accommodations (Workshop)
freee
2
1.4k
10分でわかるfreeeのQA
freee
0
740
10分でわかるfreeeのPdM
freee
9
12k
freee + Product Design FY24 Q3
freee
3
7.4k
freeeAPI × Postman APIコラボレーションで スモールビジネスを世界の主役に! / FreeeAPI x Postman API collaboration to make small business the world's leading actor!
freee
0
3.1k
モバイルチームについて
freee
0
1.2k
GitHub Copilot 導入時に考えたセキュリティのあれこれ / Security-considerations-when-introducing-GitHub-Copilot
freee
3
6.3k
課金基盤開発エンジニアについて
freee
0
410

Other Decks in Technology

See All in Technology
AWS学習者向けにAzureの解説スライドを作成した話
handy
2
100
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
260
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
330
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
0
110
地理空間データ可視化・解析・活用ソリューション Pacific Spatial Solutions (PSS)
pacificspatialsolutions
0
300
開発パフォーマンスを最大化するための開発体制
ham0215
2
470
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
130
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
660
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
620
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
280
現代CSSフレームワークの内部実装とその仕組み
poteboy
8
3.7k
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
5
2.5k

Featured

See All Featured
How to train your dragon (web standard)
notwaldorf
73
5.2k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
20
1.9k
Optimising Largest Contentful Paint
csswizardry
8
2.4k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
Happy Clients
brianwarren
92
6.4k
Design by the Numbers
sachag
274
18k
Rails Girls Zürich Keynote
gr2m
91
13k
How GitHub (no longer) Works
holman
304
140k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
Building an army of robots
kneath
300
41k
Facilitating Awesome Meetings
lara
42
5.6k

Transcript

  1. freee のマイクロサービス化 を⽀える InternalSession 横塚 直 2023年4⽉16⽇

  2. ここに円に切り抜いた画像を入れてく ださい 横塚 直 2022年新卒⼊社。 配属後はサービス基盤で、共通ライブラリや ミドルウェアの実装を担当しています。 サービス基盤エンジニア

  3.   お題⽬ Ruby on Rails の セッション管理実装 freee における セッション管理実装

    セッション管理の課題 と InternalSession 01 02 03

  4. freee のプロダクトラインアップ freee会計 freee開業 freee福利厚⽣ freeeアプリストア freee⼈事労務 freee会社設⽴ freee受発注 freeeプロジェクト管理

    freee資⾦調達 freee申告 freeeカード

  5. freee の “プロダクト” とは • freee が提供するプロダクトの⼤部分は Web アプリケーション •

    Web アプリケーションは HTTP リクエストに対してレスポンスを 返すことによって動作する freee のサーバー freee 会計のホーム 画面出して下さい! 確定申告のページ 出して!

  6. Web アプリではセッション管理が必要 • HTTP はステートレス ◦ ログイン状態を保持できない • 特定のクライアントからの⼀連の HTTP

    リクエストの間で情報を 共有する仕組みが必要 セッション管理なしではユーザーが認証されていることを 確認することが困難 イマドキの Web アプリではほぼ必須!

  7. セッション情報の具体例 • ログインユーザーのID • テナントID ◦ freee では事業所のID • セッション情報の作成⽇時

    { "user_id": 5135567, "created_at": "2023-04-01 19:57:07 +0900" }

  8. セッション管理の⼀般的な実装 Ruby on Rails にはセッション管理の実装が⼤きく分けて2種類ある   ソースコード • ActionDispatch::Session::CookieStore • ActionDispatch::Session::CacheStore

    CookieStore CacheStore

  9. CookieStore vs CacheStore CookieStore CacheStore セッション情報の 保存場所 Cookie データベース (Redis

    等のKVS) Cookie に保存する 情報 セッション情報そのもの セッションID

  10. CookieStore vs CacheStore 〜具体例〜 Set-Cookie: _techday_playground_session=ta%2BbFJv9Rdg0oyUvjTHdDrS8zmh61ky%2B8s3RosaItNQWKUJaJH6ZiqJWF1rT z4%2Bskb3nLmojuVL9JarpbVpxcaJ61P184x3JQ68DXE2nTyc9MP2U9hZLFVcbzjuTCq2VdMOQvuaA80D%2FuS1fnDmj 0CkFT3iAH3hR9tIOJEX9TKb8ysIvnxcsMAOKs5M0Zj2V5CbPiqqeLhpl%2FyhMv%2BbiYdfc1763yGwo8h0qkQ3nXIe7 yRTwXw07ETPyLHKggisLo0as0WhqmhZoP66xvnfiQ%2BftXHb6onLecVWyuzfUU8FMf0GnUYU4W43%2BB67NsR%2FK5z eG1r9dqfS6GkYmsj4MsbWl00qnKsOU0vPXejkezZ6E1u6tC4Ni7D2plfgORUzQ%2FNX1cY4ccTJWqmtcE9gL%2FlcKsa

    jdxUw143ksIGGPmqIwf0%2BR4UUUh5o6qm8DRmMtSZo2hUPxi8%2BFUKEAFZhKq1p5HGTESp%2Bfgcv2QKItvmpgZDv5 mUYVB3rKzINO8gmx1mIL4WgccEs2%2Bd5a%2FNxB6poXAjxFhZrx2cQykCkqt1g%3D--q9T9QbmdBvz%2FNG00--Uj0m Ph1muIKueQsw545Stg%3D%3D; path=/; HttpOnly; SameSite=Lax Set-Cookie: _session_id=03c49969faae6e6a187b0ecdcc203c2d; path=/; HttpOnly CookieStore CacheStore

  11. CookieStore vs CacheStore 〜Pros & Cons〜 CookieStore CacheStore Pros 外部リクエスト不要

    Revoke が容易 Cons Revoke が難しい DBアクセスがオーバーヘッド になる CookieStoreは、Railsで推奨されているデフォルトのセッションストアであり、例外的に すべてのセッションデータをcookie⾃⾝に保存します(必要に応じてセッションIDも利⽤ 可能です)。CookieStoreには⾮常に軽量であるというメリットがあり、新規Webアプリ ケーションでセッションを利⽤するための準備も不要です。 Rails ガイド ActionController の概要 5 セッション

  12. CookieStore vs CacheStore 〜Revoke〜 • Revoke = 取り消し • CacheStore

    の場合、セッション情報はサーバーサイドに保存される ので、セッションIDが漏洩した場合はデータベースの管理者権限があ れば容易に取り消せる • ⼀⽅で、CookieStore はセッション情報をクライアントサイドに保存 するため、取り消しは難しい

  13. freee のセッション管理実装 〜概略〜 • Ruby on Rails における CacheStore の実装に近い

    • セッション情報そのものは Redis に保存して、Cookie には セッションIDを保存する • セッション管理を担当する共通の認証サーバーがいる サービスB サービスC サービスA 認証サーバー

  14. freee のセッション管理実装 〜シーケンス〜

  15. freee のセッション管理の課題 サービスA ①リクエスト ②リクエスト ③レスポンス ⑧レスポンス ④リクエスト ⑤レスポンス ⑥リクエスト

    ⑦レスポンス サービスD サービスC サービスB • システムが⼤きくなってこんな感じに...

  16. • 都度都度、認証サーバーへのリクエストが必要 freee のセッション管理の課題 サービスA ①リクエスト ②リクエスト ③レスポンス ⑧レスポンス ④リクエスト

    ⑤レスポンス ⑥リクエスト ⑦レスポンス サービスD サービスC サービスB 認証 サーバー

  17. マルチサービスにおけるセッション管理のツラミ • 認証サーバーへ負荷がかかる • 認証サーバーへのリクエストがオーバーヘッドになる • クライアント側からの1リクエストに対して複数回認証サーバーに アクセスするのは無駄が多いようにも思える 今後のサービス数の増加や マイクロサービス化を考えると

    セッション管理がボトルネック になるかもしれない

  18. そこで登場するのが InternalSession • 内部通信におけるセッション管理を効率化する仕組み ◦ サービス基盤チームで開発‧導⼊中 • どんな仕組みか? ◦ セッション情報をエンコードして⽣成したトークンを

    HTTP ヘッダーに付与する ◦ ※内部通信でのみ使⽤可能 セッション情報を丸ごとやりとりする CookieStore に似た仕組み

  19. The Structure of InternalSession • “.” 区切りの⽂字列で3つのパートからなる ◦ ヘッダー ◦

    ペイロード ◦ 署名 • ペイロードはセッション情報そのもの、署名は改竄防⽌⽬的で付与 “EgVlY2RzYQ==.Cg4KDAiM4qChBhCUjszqAQ==.MEUCIQCXvGZSJGlY uBhP8wLzWMqc3Bcp5GqPqzIMru2fwwl5OgIgCZ28dxlybF9VfyWfS1 +oHNsxUOdLMeyaNutOjtztSRA=” セッション情報を含んだ文字列を HTTP ヘッダに付与する JWT (JSON Web Token) と似た構造

  20. InternalSession 導⼊前 再度認証サーバーに アクセス

  21. InternalSession 導⼊後 内部通信の前に生成 認証サーバへアクセス不要

  22. InternalSession vs 既存のセッション管理 InternalSession 既存のセッション管理 Pros 認証サーバーへの リクエスト不要 Revoke が容易

    Cons Revoke 不可 認証サーバーへの アクセス回数多 CookieStore vs CacheStore と 同じようなトレードオフがある!

  23. CookieStore vs CacheStore 〜Pros & Cons〜 the CookieStore - which

    stores all session data in the cookie itself (the ID is still available to you if you need it). This has the advantage of being very lightweight, and it requires zero setup in a new application to use the session. https://guides.rubyonrails.org/action_controller_overview.html#session CookieStore CacheStore Pros 外部リクエスト不要 Revoke が容易 Cons Revoke が難しい DBアクセスがオーバーヘッド になる

  24. つまりどういうことか? • セッション情報を丸ごとやりとりする InternalSession や CookieStore は早くて外部への依存もないが、Revoke が難しい • セッション情報を都度問い合わせるようにすると、Revoke

    は 容易だがパフォーマンス問題を引き起こす可能性がある 外部との通信でやりとりするのはセッションIDにして、 freee 内部の通信ではセッション情報をそのままやりとりする。 パフォーマンスとセキュリティを両⽴を狙った施策が InternalSession

  25. まとめ • Webアプリケーションにおいてはセッション管理が必須 • Ruby on Rails の2つのセッション管理実装には、パフォーマンスと セキュリティのトレードオフが存在する •

    freee においては都度都度認証サーバーに問い合わせる形式を採⽤ していたが、サービス数の増加等を⾒据えるとボトルネックになる 可能性が想定された • 対抗策として、InternalSession の開発導⼊を進めている
  26. None