Tôi đã chia sẻ trước đó về cách tôi bắt tay vào một hệ thống backend trong bài viết Cách tôi bắt tay vào một hệ thống backend. Hôm nay, tôi sẽ kể tiếp một câu chuyện khác về cách tôi áp dụng những nguyên lý trong bài viết trước vào thực tế.

Một ngày đẹp trời, khách hàng liên hệ với tôi trong trạng thái hoang mang: Hệ thống backend liên tục quá tải, khiến độ trễ tăng cao và trải nghiệm người dùng bị ảnh hưởng nghiêm trọng. Sau khi phân tích, tôi tìm ra một thay đổi nhỏ nhưng mang lại hiệu quả đáng kinh ngạc, giúp tăng 30% thông lượng mà không cần nâng cấp phần cứng hay mở rộng database. Hãy cùng tôi khám phá nhé!

Xác định nguyên nhân gây nghẽn

Hệ thống của khách hàng có một dashboard quản lý sử dụng Role-Based Access Control (RBAC):

• Admin: Toàn quyền quản lý hệ thống.
• Editor: Có thể chỉnh sửa nội dung nhưng không quản lý user.
• Viewer: Chỉ có quyền xem dữ liệu.

Hầu hết request đều cần xác thực user để kiểm tra quyền truy cập. Sau khi kiểm tra, tôi nhận ra bottleneck chính nằm ở tầng database. Trung bình, mỗi request thực hiện ba truy vấn, tôi muốn giảm con số này, trong ba truy vấn có một truy vấn từ authMiddleware để lấy thông tin user:

function authMiddleware(req, res, next) { const token = req.headers.authorization?.split(" ")[1]; if (!token) return res.status(401).json({ message: "Unauthorized" }); try { const decoded = jwt.verify(token, SECRET_KEY); const user = await getUserRecordFromDatabase(decoded.userId); req.user = user; next(); } catch (error) { return res.status(403).json({ message: "Invalid token" }); }
}

Truy vấn này tốn khoảng 0.01s mỗi lần gọi:

SELECT u.id, u.username, u.email, r.id, r.name, p.id, p.name
FROM USERS u
LEFT JOIN USER_ROLES ur ON u.id = ur.user_id
LEFT JOIN ROLES r ON ur.role_id = r.id
LEFT JOIN ROLE_PERMISSIONS rp ON r.id = rp.role_id
LEFT JOIN PERMISSIONS p ON rp.permission_id = p.id
WHERE u.id = 'USER_ID_HERE';

Vấn đề là gì? Nếu hệ thống có 1000 request/giây, thì chỉ riêng việc xác thực user đã tạo ra 1000 truy vấn/giây vào database! Trong khi database chỉ có thể xử lý khoảng 1000 query/s. Tôi tự hỏi: Liệu có thể loại bỏ truy vấn này không?

Giải pháp: Nhúng role và permissions vào JWT

Thực tế, hầu hết các request chỉ cần userId, role, và permissions để phân quyền. Vậy tại sao không lưu luôn những thông tin này vào JWT payload? Bằng cách này, ta có thể loại bỏ truy vấn database không cần thiết.

JWT mới sẽ có dạng:

{ "userId": "123456", "role": "editor", "permissions": ["edit_articles", "view_dashboard"], "iat": 1716220000, "exp": 1716223600
}

Cập nhật authMiddleware để sử dụng dữ liệu từ JWT thay vì query database:

function authMiddleware(req, res, next) { const token = req.headers.authorization?.split(" ")[1]; if (!token) return res.status(401).json({ message: "Unauthorized" }); try { const decoded = jwt.verify(token, SECRET_KEY); req.user = decoded; next(); } catch (error) { return res.status(403).json({ message: "Invalid token" }); }
}

Nhờ đó, mỗi request tiết kiệm được một truy vấn database, giúp giảm số truy vấn trung bình từ 3 xuống còn 2.

Xử lý vấn đề thay đổi quyền

Nhưng khoan đã! Nếu role hoặc permissions của user thay đổi, hoặc user bị xóa, thì token cũ vẫn còn hiệu lực. Điều này có thể dẫn đến lỗ hổng bảo mật.

Giải pháp của tôi là sử dụng Redis để kiểm soát tính hợp lệ của token:

• Khi role hoặc permissions thay đổi, hoặc user bị xoá, đặt một flag trong Redis: tokenPayloadExpired::<userId>.

async function update() { const result = // update role/permission... or delete user code await redisService.set(`tokenPayloadExpired::${req.user.userId}`, true, { expiredIn: ACCESS_TOKEN_EXPIRED_DURATION, });

Flag sẽ tự động hết hạn sau một khoảng thời gian bằng ACCESS_TOKEN_EXPIRED_DURATION để tránh chiếm dụng bộ nhớ Redis vô hạn.

• Khi user đăng nhập hoặc refresh token, flag này sẽ bị xóa:

async function genToken(userId, role, permissions) { const newTokens = // gen new refresh token and accessToken await redisService.delete(`tokenPayloadExpired::${userId}`); return newTokens;
}

Cập nhật authMiddleware:

async function authMiddleware(req, res, next) { const token = req.headers.authorization?.split(" ")[1]; if (!token) return res.status(401).json({ message: "Unauthorized" }); try { const decoded = jwt.verify(token, SECRET_KEY); if (await redisService.get(`tokenPayloadExpired::${decoded.userId}`)) { throw Error("Token expired"); } req.user = decoded; next(); } catch (error) { return res.status(403).json({ message: "Invalid token" }); }
}

Kết quả đạt được

✅ Số lượng truy vấn trung bình trên mỗi request giảm từ 3 xuống 2.
✅ Thời gian phản hồi trung bình giảm 80-90ms trên mỗi request.
✅ Thông lượng hệ thống tăng khoảng 30%.
✅ Tải trên database giảm đáng kể, giúp hệ thống hoạt động ổn định hơn.

Tổng kết

Nếu bạn cũng đang gặp tình trạng tương tự, hãy thử áp dụng cách này! 🚀

Bạn đã từng tối ưu authentication theo cách nào chưa? Hãy chia sẻ ý kiến của bạn nhé hehe!