Yazılım

Laravel İzin Kontrollerinin Karşılaştırılması: Veritabanı ile Redis

teknomers
teknomers

Redis’in izin kontrolü için ne kadar daha hızlı olduğu sıkça sorduğum bir sorudur. Cevap, ölçeğinize, erişim desenlerinize ve neyi ölçtüğünüze bağlıdır.

<p>Gerçek sayılar elde etmek için bir <a href="https://github.com/scabarcas17/laravel-permissions-redis-benchmark" target="_blank" rel="noopener noreferrer">benchmark uygulaması</a> geliştirdim. İşte bulgularım.</p>

<h2>
    <a name="methodology" href="#methodology"></a>
    Metodoloji
</h2>

<h3>
    <a name="the-setup" href="#the-setup"></a>
    Kurulum
</h3>

<ul>
    <li>
        <strong>PHP 8.3</strong> OPcache etkin
    </li>
    <li>
        <strong>Laravel 12</strong> varsayılan yapılandırma ile
    </li>
    <li>
        <strong>Redis 7.2</strong> yerel (aynı makine, minimal ağ gecikmesi) çalışıyor
    </li>
    <li>
        <strong>MySQL 8.0</strong> yerel olarak çalışıyor
    </li>
    <li>
        <strong>Karşılaştırılan paketler:</strong>
        <ul>
            <li>
                <code>spatie/laravel-permission</code> v6 (veritabanı destekli, Redis'i Laravel önbellek sürücüsü olarak kullanıyor)
            </li>
            <li>
                <code>scabarcas/laravel-permissions-redis</code> v3 (Redis SET'leri, çift katmanlı önbellek)
            </li>
        </ul>
    </li>
</ul>

<h3>
    <a name="the-data" href="#the-data"></a>
    Veriler
</h3>

<ul>
    <li>1 kullanıcıya 3 rol üzerinden 50 yetki atanmıştır</li>
    <li>Yetkiler şu gruplarda yapılandırılmıştır: <code>posts.*</code>, <code>users.*</code>, <code>settings.*</code>, <code>reports.*</code></li>
    <li>Her iki paket de önerilen varsayılan ayarlarıyla yapılandırılmıştır.</li>
</ul>

<h3>
    <a name="what-we-measure" href="#what-we-measure"></a>
    Ne Ölçüyoruz
</h3>

<ol>
    <li>
        <strong>Veritabanı sorguları</strong> — Her istek başına MySQL'e giden sorgu sayısı
    </li>
    <li>
        <strong>Önbellek mimarisi</strong> — Her paketin izin verilerini nasıl depoladığı ve geri aldığı
    </li>
    <li>
        <strong>Geçersiz kılma maliyeti</strong> — İzinler değiştiğinde ne olur
    </li>
    <li>
        <strong>Soğuk başlangıç</strong> — Önbellek temizlendikten sonraki ilk istek
    </li>
    <li>
        <strong>Isınmış durum</strong> — Sabit durum performansı
    </li>
</ol>

<blockquote>
    <p><strong>Adil karşılaştırma için önemli not:</strong> Spatie, en hızlı önbellek arka ucunu sağlamak için <code>CACHE_DRIVER=redis</code> ile yapılandırılmıştır. Bu karşılaştırma, mimarideki farkla ilgilidir, "veritabanı vs Redis" anlamında değil.</p>
</blockquote>

<h2>
    <a name="benchmark-1-database-queries-per-request" href="#benchmark-1-database-queries-per-request"></a>
    Benchmark 1: İstek başına veritabanı sorguları
</h2>

<p>Test uygulamamızda tipik bir istek 33 izin kontrolü (middleware + politika + çevrimiçi kontroller) gerçekleştirir. Her paketin oluşturduğu veritabanı sorgusu sayısı şu şekildedir:</p>

<div class="table-wrapper-paragraph">
    <table>
        <thead>
            <tr>
                <th>Senaryo</th>
                <th>spatie/laravel-permission</th>
                <th>laravel-permissions-redis</th>
                <th>Azalma</th>
            </tr>
        </thead>
        <tbody>
            <tr>
                <td><strong>1 istek (soğuk önbellek)</strong></td>
                <td>5 sorgu</td>
                <td>1 sorgu</td>
                <td><strong>80%</strong></td>
            </tr>
            <tr>
                <td><strong>1 istek (ısınmış önbellek)</strong></td>
                <td>0 sorgu</td>
                <td>0 sorgu</td>
                <td>--</td>
            </tr>
            <tr>
                <td><strong>10 ardışık istek</strong></td>
                <td>14 sorgu</td>
                <td>10 sorgu</td>
                <td><strong>~29%</strong></td>
            </tr>
            <tr>
                <td><strong>50 ardışık istek</strong></td>
                <td>54 sorgu</td>
                <td>50 sorgu</td>
                <td><strong>~7%</strong></td>
            </tr>
        </tbody>
    </table>
</div>

<h3>
    <a name="why-the-numbers-converge" href="#why-the-numbers-converge"></a>
    Neden sayılar birbirine yaklaşır
</h3>

<p>Her iki paket de ilk istekten sonra önbellekler. Ardışık isteklere gelen farklılık ise önbellek geçersiz kılma davranışından gelir, ki bunu bir sonraki bölümde değineceğiz.</p>

<p>Asıl hikaye, önbellek ısınmadığında neler olduğunda yatıyor.</p>

<h2>
    <a name="benchmark-2-cache-architecture-deep-dive" href="#benchmark-2-cache-architecture-deep-dive"></a>
    Benchmark 2: Önbellek mimarisi derinlemesine inceleme
</h2>

<p>Mimari farklılıkların en fazla önem kazandığı yer burasıdır.</p>

<h3>
    <a name="how-spatie-stores-permissions" href="#how-spatie-stores-permissions"></a>
    Spatie izinleri nasıl depolar?
</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>Cache key: "spatie.permission.cache"

Value: Tüm kullanıcılar için TÜM izinlerin serileştirilmiş PHP dizisi

<p>Her <code>hasPermissionTo()</code> çağrısında:</p>
<ol>
    <li>Redis'den tam serileştirilmiş blob'u al</li>
    <li>Serileştirmeyi çöz (<code>unserialize()</code>)</li>
    <li>Geçerli kullanıcı için izinleri filtrele</li>
    <li>İstenilen izin için sonuç dizi taraması yap</li>
</ol>

<p><strong>Kontrol başına zaman karmaşıklığı:</strong> O(n) burada n = sistemdeki toplam izin sayısı</p>

<h3>
    <a name="how-laravelpermissionsredis-stores-permissions" href="#how-laravelpermissionsredis-stores-permissions"></a>
    laravel-permissions-redis izinleri nasıl depolar?
</h3>

<div class="highlight js-code-highlight">
    <pre class="highlight json"><code>Redis key: "auth:user:42:permissions"

Value: Redis SET { “posts.create”, “posts.edit”, “users.view”, … }

<p>Her <code>hasPermissionTo()</code> çağrısında:</p>
<ol>
    <li>İç bellek PHP dizisini kontrol et (bu istek halledildi mi) — <strong>sıfır I/O</strong></li>
    <li>Eğer boşta ise: tek <code>SISMEMBER auth:user:42:permissions "posts.create"</code> komutu</li>
</ol>

<p><strong>Kontrol başına zaman karmaşıklığı:</strong> O(1) — Redis SET içinde hash tabanı araması</p>

<h3>
    <a name="what-this-means-in-practice" href="#what-this-means-in-practice"></a>
    Pratikte bunun anlamı
</h3>

<div class="table-wrapper-paragraph">
    <table>
        <thead>
            <tr>
                <th>Aspet</th>
                <th>Spatie</th>
                <th>laravel-permissions-redis</th>
            </tr>
        </thead>
        <tbody>
            <tr>
                <td>Bir istekteki ilk kontrol</td>
                <td>Tüm önbelleği serileştir + tarama</td>
                <td><code>SISMEMBER</code> (1 Redis çağrısı)</td>
            </tr>
            <tr>
                <td>Aynı istekteki ikinci kontrol</td>
                <td>Tüm önbelleği serileştir + tarama</td>
                <td>İç bellek dizisi (0 I/O)</td>
            </tr>
            <tr>
                <td>Aynı istekteki 10. kontrol</td>
                <td>Tüm önbelleği serileştir + tarama</td>
                <td>İç bellek dizisi (0 I/O)</td>
            </tr>
            <tr>
                <td>Kontrol başına bellek</td>
                <td>Tüm izin dizisi yüklendi</td>
                <td>Yalnızca kullanıcının izin seti</td>
            </tr>
        </tbody>
    </table>
</div>

<p>Spatie ile, uygulamanızda 10.000 izin varsa, her <code>hasPermissionTo()</code> çağrısı boyutun tümü yüklenir ve taranır. Redis SET'leri ile, her kontrol yalnızca geçerli kullanıcının verileri ile etkileşime geçer.</p>

<h2>
    <a name="benchmark-3-cache-invalidation" href="#benchmark-3-cache-invalidation"></a>
    Benchmark 3: Önbellek geçersiz kılma
</h2>

<p>Beni bu paketi geliştirmeye ikna eden benchmark budur.</p>

<h3>
    <a name="scenario-admin-changes-a-users-permissions" href="#scenario-admin-changes-a-users-permissions"></a>
    Senaryo: Admin, bir kullanıcının izinlerini değiştirir
</h3>

<p><strong>Spatie'nin yaklaşımı:</strong></p>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>// Herhangi bir izin değiştiğinde:

app(PermissionRegistrar::class)->forgetCachedPermissions();
// Bu çağırır: Cache::forget(‘spatie.permission.cache’);

<p>Sonuç: <strong>Tüm kullanıcıların önbelleği silinir.</strong> Herhangi bir kullanıcının bir sonraki isteği tamamen soğuk başlangıç maliyeti öder.</p>

<p>50.000 aktif kullanıcı ve 200 req/s API ile, bu, şu anlama gelir:</p>

<ul>
    <li>~200 eşzamanlı soğuk başlangıç veritabanı sorgusu</li>
    <li>Her sorgu tam izin önbelleğini yeniden oluşturur</li>
    <li>Aynı anda birden fazla kullanıcı tarafından gerçekleştirilen önbellek stampede riski</li>
</ul>

<p><strong>laravel-permissions-redis yaklaşımı:</strong></p>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code>// Kullanıcı 42'nin izinleri değiştiğinde:

$repository->warmUserCache(42);
// Sadece şunu yeniden ısıt: auth:user:42:permissions ve auth:user:42:roles

<p>Sonuç: <strong>Yalnızca kullanıcı 42'nin önbelleği yeniden ısıtılır.</strong> Diğer kullanıcıların önbelleği etkilenmez.</p>

<h3>
    <a name="invalidation-cost-comparison" href="#invalidation-cost-comparison"></a>
    Geçersiz kılma maliyeti karşılaştırması
</h3>

<div class="table-wrapper-paragraph">
    <table>
        <thead>
            <tr>
                <th>Metriği</th>
                <th>Spatie</th>
                <th>laravel-permissions-redis</th>
            </tr>
        </thead>
        <tbody>
            <tr>
                <td>Etkilenen kullanıcılar</td>
                <td>TÜM</td>
                <td>1 (değiştirilen kullanıcı)</td>
            </tr>
            <tr>
                <td>Başlatılan DB sorguları</td>
                <td>1 ağır sorgu (tüm izinler)</td>
                <td>2 hafif sorgu (1 kullanıcının rolleri + izinleri)</td>
            </tr>
            <tr>
                <td>Önbellek stampede riski</td>
                <td>Yüksek (tüm kullanıcılar soğuk)</td>
                <td>Yok (sadece 1 kullanıcı yeniden ısıtıldı)</td>
            </tr>
            <tr>
                <td>Tam iyileşme süresi</td>
                <td>Trafiğe bağlı</td>
                <td>Anında (proaktif yeniden ısıtma)</td>
            </tr>
        </tbody>
    </table>
</div>

<h2>
    <a name="benchmark-4-cold-start-and-cache-warming" href="#benchmark-4-cold-start-and-cache-warming"></a>
    Benchmark 4: Soğuk başlangıç ve önbellek ısıtma
</h2>

<h3>
    <a name="single-user-cold-start" href="#single-user-cold-start"></a>
    Tek kullanıcı soğuk başlangıç
</h3>

<p>Kullanıcı, önbellek verisi olmadan giriş yaptığında:</p>

<p><strong>Spatie:</strong></p>

<ol>
    <li>Tüm sistemdeki izinleri sorgula</li>
    <li>Serileştir ve önbelleğe koy</li>
    <li>Her kontrol sırasında serileştirmeyi çöz ve tarama yap</li>
</ol>

<p><strong>laravel-permissions-redis:</strong></p>

<ol>
    <li>Bu kullanıcının rollerini sorgula (1 sorgu)</li>
    <li>Bu rollere ait izinleri sorgula (1 sorgu)</li>
    <li>Redis SET'lerini yaz: <code>SADD auth:user:42:permissions "posts.create" "posts.edit" ...</code></li>
    <li>Tüm sonraki kontroller: <code>SISMEMBER</code> veya iç bellek</li>
</ol>

<h3>
    <a name="bulk-cache-warming-deploy-scenario" href="#bulk-cache-warming-deploy-scenario"></a>
    Toplu önbellek ısıtma (dağıtım senaryosu)
</h3>

<p>Bir dağıtımdan sonra, tüm kullanıcılar için önbelleği önceden ısıtmak isteyebilirsiniz:<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight shell">
        <code># laravel-permissions-redis bunun için varsayılan olarak mevcut

php artisan permissions-redis:warm

Spatie’nin eşdeğeri yok – önbellek ilk istekte tembel bir şekilde oluşturuluyor

<div class="table-wrapper-paragraph">
    <table>
        <thead>
            <tr>
                <th>Kullanıcı sayısı</th>
                <th>Isınma süresi (laravel-permissions-redis)</th>
                <th>Notlar</th>
            </tr>
        </thead>
        <tbody>
            <tr>
                <td>1.000</td>
                <td>~2s</td>
                <td>Chunked işleme</td>
            </tr>
            <tr>
                <td>10.000</td>
                <td>~15s</td>
                <td>Eş zamanlı Redis boru hatları</td>
            </tr>
            <tr>
                <td>100.000</td>
                <td>~120s</td>
                <td>İlerleme çubuğuyla gruplama</td>
            </tr>
        </tbody>
    </table>
</div>

<p>Spatie'de, ısıtma komutu yok. Ön bellek ilk istekte yeniden kuruluyor, bu da ilk 100-1000 kullanıcı için yavaş bir yanıt süresi anlamına gelir.</p>

<h2>
    <a name="benchmark-5-memory-usage" href="#benchmark-5-memory-usage"></a>
    Benchmark 5: Bellek kullanımı
</h2>

<h3>
    <a name="perrequest-memory-footprint" href="#perrequest-memory-footprint"></a>
    İstek başına bellek ayak izi
</h3>

<div class="table-wrapper-paragraph">
    <table>
        <thead>
            <tr>
                <th>Paket</th>
                <th>İstek başına bellek (kullanıcı başına 50 izin)</th>
            </tr>
        </thead>
        <tbody>
            <tr>
                <td>Spatie (tüm izinler önbelleğe alınmış)</td>
                <td>~2-5 MB (tüm izin dizisi serileştirilmiş)</td>
            </tr>
            <tr>
                <td>laravel-permissions-redis</td>
                <td>~50-100 KB (yalnızca geçerli kullanıcının seti)</td>
            </tr>
        </tbody>
    </table>
</div>

<p>Toplam izin sayınızla birlikte bu fark artar. Spatie, istekte bulunan her kullanıcı için tüm izinleri yüklerken, <code>laravel-permissions-redis</code> yalnızca geçerli kullanıcının mevcut izinlerini yükler.</p>

<h2>
    <a name="the-visualization" href="#the-visualization"></a>
    Görselleştirme
</h2>

<p>Farklı ölçeklerde performans farklarını düşünmenin yolu:<br /></p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>İzin kontrolleri istekte
|
|  Spatie (ısınmış)      Redis (ısınmış)
|  ~~~~~~~~~~~~          ~~~~~~~~~~~~

5 | Yeterince hızlı Hızlı
15 | İyi Hızlı
30 | Dikkate değer Hızlı
50 | Yavaş Hızlı
100 | Çok yavaş Hızlı
|
+—————————————->

<p>Ana fikir: <strong>Spatie'nin performansı, istek başına kontrol sayısıyla lineer olarak düşer.</strong> <code>laravel-permissions-redis</code> sabit kalır çünkü her kontrol O(1)'dir.</p>

<h2>
    <a name="when-the-difference-doesnt-matter" href="#when-the-difference-doesnt-matter"></a>
    Farkın önemi olmadığında
</h2>

<p>Bu optimizasyonun hangi durumlarda önemsiz olduğunu dürüstçe belirtelim:</p>

<ul>
    <li>
        <strong> Her iki paket de yeterince hızlıdır. Özelliklere göre seçim yapın, performansa göre değil.</strong>
    </li>
    <li>
        <strong>Okuma ağırlıklı, nadiren değişen izinler:</strong> Eğer izinler asla değişmezse, Spatie'nin önbelleği sonsuza dek sıcak kalır. Geçersiz kılma avantajı kaybolur.
    </li>
    <li>
        <strong>Tek kullanıcı CLI veya kuyruk işleri:</strong> Eşzamanlı önbellek stampede riski yoktur. Soğuk başlangıç maliyeti bir kerelik bir darbedir.
    </li>
</ul>

<h2>
    <a name="when-the-difference-is-critical" href="#when-the-difference-is-critical"></a>
    Farkın kritik olduğu durumlar
</h2>

<ul>
    <li>
        <strong>Yüksek trafiğe sahip API'ler:</strong> 200+ req/s ve her istek 10+ izin kontrolü yapıyorsa
    </li>
    <li>
        <strong>Çok kiracılı SaaS:</strong> Farklı izin setlerine sahip binlerce kullanıcı
    </li>
    <li>
        <strong>Gerçek zamanlı uygulamalar:</strong> WebSocket sunucuları veya uzun ömürlü işlemler için Octane çalışanları
    </li>
    <li>
        <strong>Sık izin değişiklikleri:</strong> Rollerin/izinlerin düzenli olarak işlendiği yönetim panelleri
    </li>
    <li>
        <strong>Büyük izin matrisleri:</strong> Çoklu rollerde 100+ izin
    </li>
</ul>

<h2>
    <a name="reproducing-these-benchmarks" href="#reproducing-these-benchmarks"></a>
    Bu benchmarkları yeniden üretme
</h2>

<p>Benchmark uygulaması açık kaynak:<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight shell"><code>git clone https://github.com/scabarcas17/laravel-permissions-redis-benchmark

cd laravel-permissions-redis-benchmark
composer install
php artisan migrate –seed
php artisan benchmark:run

<p>Bu, belirli donanımınızla yan yana bir karşılaştırma raporu oluşturur. Kendiniz çalıştırmanızı öneririm — sayılarınız Redis/MySQL gecikmesi, PHP sürümü ve donanımınıza bağlı olarak farklılık gösterecektir.</p>

<h2>
    <a name="conclusion" href="#conclusion"></a>
    Sonuç
</h2>

<p>Veritabanı destekli ve Redis destekli izin kontrolü arasındaki performans farkı, üç mimari kararın sonucudur:</p>

<ol>
    <li><strong>O(1) vs O(n) aramalar</strong> — Redis <code>SISMEMBER</code> vs dizi taraması</li>
    <li><strong>Cerrahi vs nükleer geçersiz kılma</strong> — Bir kullanıcı yeniden ısıt vs her şeyi temizle</li>
    <li><strong>Çift katmanlı önbellekleme</strong> — Bellek içi + Redis vs yalnızca önbellek sürücüsü</li>
</ol>

<p>Küçük uygulamalar için bu farklılıklar akademiktir. Yüksek trafikli Laravel API'leri için, bu fark, ek sunucular eklemek ile elinizdekileri optimize etmek arasında bir farktır.</p>

<p>Paket ücretsiz, MIT lisanslı ve Packagist'te mevcuttur:<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight shell"><code>composer require scabarcas/laravel-permissions-redis</code></pre>
</div>

<p>Belgelere, geçiş rehberlerine ve tam test paketi için <a href="https://github.com/scabarcas17/laravel-permissions-redis" target="_blank" rel="noopener noreferrer">GitHub repo</a>sunu kontrol edin. Sorular ve PR'lar memnuniyetle karşılanır.</p>

<hr/>

<p><em>Tüm benchmarklar, yerel Redis ve MySQL ile bir MacBook Pro M2 üzerinde çalıştırılmıştır. Üretim sayıları, ağ topolojisine ve donanıma bağlı olarak farklılık gösterebilir. <a href="https://github.com/scabarcas17/laravel-permissions-redis-benchmark" target="_blank" rel="noopener noreferrer">Benchmark deposu</a>, kendi donanımınızda yeniden üretmek için talimatlar içerir.</em></p>

Kaynak: Orijinal Makale

Sunucunuzu Güncellemeyi Durdurun: Bulut Maliyet Optimizasyonu için Mimari Tasarımı
PHPLaravel ile Uygulama İzleme: Hata Ayıklama ve Performans Yönetimi
Cüzdan Logları için Hata Toleranslı Bir Göç Süreci Oluşturma
Filament Kaynaklarını Nasıl Test Edersiniz | Laravel Kişisel Finans Pano Uygulaması
PHP’de Mesafe Hesaplamayın: Laravel’de PostGIS Ustası Olun 🗺️
Bu Makaleyi Paylaş
Önceki Makale WhatsApp Kullanıcılarını Çırağı Kandıran Casus Uygulama Hakkında Uyardı
Sonraki Makale Taylor Lorenz: Günlük 17 Saat Ekran Süresi ile Dijital Hayatı

Sanal Medya

Son Eklenenler

Acil: Fortinet FortiSandbox Açıkları Hedef Alınıyor!
Siber Güvenlik
Yapay Zeka Token Kullanımı: Şirketlerde Hastalık Derecesinde Artış!
Genel
Commodore’un Callback 8020’u: Retro tarzda modern bir flip telefon
Liste
Acil: Sahte Microsoft Uyarıları ile Kuzey Kore NarwhalRAT Tehdidi
Siber Güvenlik
Yazılım Personel Takviyesi Hindistan: İstihdam Gecikmeleri Olmadan Geliştirme Takımlarını Ölçeklendirme
Yazılım
Acil: LiteSpeed cPanel Eklentisindeki Kritik Güvenlik Açığı!
Siber Güvenlik