一、概况

1. 请求认证token时,需发送的认证信息包括:

2. 如果认证成功,会获得认证token

3. 在发送的API请求中将认证token填入X-Auth-Token字段。可以一直使用这个认证token发送API请求,直到任务完成或出现401非认证错误。

4. 如果出现401非认证错误,可以重新请求一个认证token。

二、详细流程举例

说明:以下例子会使用到cURL( http://curl.haxx.se/)和OpenStack APIs( http://developer.openstack.org/api-ref.html)

1、认证过程

使用如下命令请求认证token:

$ curl -i 'http://127.0.0.1:5000/v2.0/tokens' -X POST -H "Content-Type: application/json" -H "Accept: application/json"  -d '{"auth": {"tenantName": "admin", "passwordCredentials": {"username": "admin", "password": "secretsecret"}}}'

如果认证成功,将获得200 OK响应报文,其中响应body包含了一个token和过期时间,前者格式为"id":"token",后者格式为"expires":"datetime"。详细情况如下:

HTTP/1.1  OK

Vary: X-Auth-Token

Content-Type: application/json

Content-Length:

Date: Wed,  Nov  :: GMT


{


  "access": {


      "token": {

            "issued_at": "2013-11-06T20:06:24.113908",

            "expires": "2013-11-07T20:06:24Z",

            "id": "{token}",

            "tenant": {

                "description": null,

                "enabled": true,

                "id": "604bbe45ac7143a79e14f3158df67091",

                "name": "admin"

            }

        },

        "serviceCatalog": [

            {

                "endpoints": [

                    {

                        "adminURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091",

                        "region": "RegionOne",

                        "internalURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091",

                        "id": "9851cb538ce04283b770820acc24e898",

                        "publicURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091"

                    }

                ],

                "endpoints_links": [],

                "type": "compute",

                "name": "nova"

            },

            ...

        "user": {

            "username": "admin",

            "roles_links": [],

            "id": "3273a50d6cfb4a2ebc75e83cb86e1554",

            "roles": [

                {

                    "name": "admin"

                }

            ],

            "name": "admin"

        },

        "metadata": {

            "is_admin": ,

            "roles": [

                "b0d525aa42784ee0a3df1730aabdcecd"

            ]

        }

    }

} 




2、发送API请求过程


说明:以下使用 Identity API (http://developer.openstack.org/api-ref-identity-v3.html)和Compute API (http://developer.openstack.org/api-ref-compute-v2.html)的请求举例。


2.1 使用Identity API 请求tenants list,如下:




$ curl -i -X GET http://166.78.21.23:35357/v2.0/tenants -H "User-Agent: python-keystoneclient" -H "X-Auth-Token: token"






结果内容:
{

    "tenants_links": [],

    "tenants": [

        {

            "description": null,

            "enabled": true,

            "id": "3eddf34c2f814bd5bc50a382f8fba1c6",

            "name": "demo"

        },

        {

            "description": null,

            "enabled": true,

            "id": "604bbe45ac7143a79e14f3158df67091",

            "name": "admin"

        },

        {

            "description": null,

            "enabled": true,

            "id": "78323d3574e6421b98fe5894475c69fe",

            "name": "service"

        },

        {

            "description": null,

            "enabled": true,

            "id": "da73856734d84ec29958b048d8708d82",

            "name": "invisible_to_admin"

        },

        {

            "description": null,

            "enabled": true,

            "id": "ee30a93eaade41acbcf210780dd7a0ba",

            "name": "alt_demo"

        }

    ]

}




2.2 使用Compute API 请求servers list,如下:




$ curl -v -H "X-Auth-Token:token" http://208.123.85.197:8774/v2/tenant_id/servers






结果内容:
{

    "server": {

        "adminPass": "MVk5HPrazHcG",

        "id": "5bbcc3c4-1da2-4437-a48a-66f15b1b13f9",

        "links": [

            {

                "href": "http://openstack.example.com/v2/openstack/servers/5bbcc3c4-1da2-4437-a48a-66f15b1b13f9",

                "rel": "self"

            },

            {

                "href": "http://openstack.example.com/openstack/servers/5bbcc3c4-1da2-4437-a48a-66f15b1b13f9",

                "rel": "bookmark"

            }

        ]

    }

}




三、详细流程图




如果给出tenant直接从以下步骤开始:












四、keystone


keystone的管控主要针对三个方面:


1、用户,对用户进行认证
2、服务,管理服务的访问点
3、权限,即role,这里的role相对比较复杂:
	role的定义不只依靠keystone,也依赖于各个服务组件对role的认可,其中由于user可以属于多个project,所以仅对user是无法管理权限的,只能针对(user,project)对进行权限管理。
1)权限管理抽象成role后,keystone负责记录并绑定role和(user,project)对
2)各服务组件在其自身的policy.json中定义role和各个具体操作之间的认可关系。


整个流程:
1.用户首先到keystone认证,获取token,同时会获取service endpoints
2.用户使用token访问心仪的service endpoint,这里token只是管控user对service的进入,但是不管控user在service里面的具体operation
3.service会根据用户的请求识别role,然后检测policy.json里面该role所绑定的operation,以此来许可operation


参考文章:


http://docs.openstack.org/api/quick-start/content/index.html#authenticate


http://docs.openstack.org/icehouse/install-guide/install/yum/content/keystone-concepts.html
												


											
openstack身份认证与API请求流程的更多相关文章
	

    
								
  1. Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(三)
		
    在前面两篇文章中,我介绍了基于IdentityServer4的一个Identity Service的实现,并且实现了一个Weather API和基于Ocelot的API网关,然后实现了通过Ocelot ...
    
		
    2. 
						
  2. 【React全家桶入门之十】登录与身份认证
		
    细致想想,我们的后台系统还没有一个登录功能,太不靠谱,赶紧把防盗门安上! SPA的鉴权方式和传统的web应用不同:因为页面的渲染不再依赖服务端,与服务端的交互都通过接口来完毕,而REASTful风格的 ...
    
		
    3. 
						
  3. react 项目实战(九)登录与身份认证
		
    SPA的鉴权方式和传统的web应用不同:由于页面的渲染不再依赖服务端,与服务端的交互都通过接口来完成,而REASTful风格的接口提倡无状态(state less),通常不使用cookie和sessi ...
    
		
    4. 
						
  4. RESTful Api 身份认证安全性设计
		
    REST是一种软件架构风格.RESTful Api 是基于 HTTP 协议的 Api,是无状态传输.它的核心是将所有的 Api 都理解为一个网络资源.将所有的客户端和服务器的状态转移(动作)封装到 H ...
    
		
    5. 
						
  5. RESTful Api 身份认证中的安全性设计探讨
		
    REST 是一种软件架构风格.RESTful Api 是基于 HTTP 协议的 Api,是无状态传输.它的核心是将所有的 Api 都理解为一个网络资源.将所有的客户端和服务器的状态转移(动作)封装到  ...
    
		
    6. 
						
  6. api接口对于客户端的身份认证方式以及安全措施
		
    转载 基于http协议的api接口对于客户端的身份认证方式以及安全措施 由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsession ...
    
		
    7. 
						
  7. 【译】使用Jwt身份认证保护 Asp.Net Core Web Api
		
    原文出自Rui Figueiredo的博客,原文链接<Secure a Web Api in ASP.NET Core> 摘要:这边文章阐述了如何使用 Json Web Token (Jw ...
    
		
    8. 
						
  8. 最简单易懂的Spring Security 身份认证流程讲解
		
    最简单易懂的Spring Security 身份认证流程讲解 导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确 ...
    
		
    9. 
						
  9. Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(四)
		
    在上一讲中,我们已经完成了一个完整的案例,在这个案例中,我们可以通过Angular单页面应用(SPA)进行登录,然后通过后端的Ocelot API网关整合IdentityServer4完成身份认证.在 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. mysqldb下载地址
			
    mysqldb x64    https://pan.baidu.com/s/1dFJ3G0T x32及源码 https://pypi.python.org/pypi/MySQL-python/1.2 ...
    
			
    2. 
						
  2. Scrum立会报告+燃尽图(Beta阶段第二周第六次)
			
    此作业要求参见:https://edu.cnblogs.com/campus/nenu/2018fall/homework/2414 项目地址:https://coding.net/u/wuyy694 ...
    
			
    3. 
						
  3. struts传值方式ModelDriven的使用
			
    struts传值不需要用到request,struts会处理好. 1.不是面向对象直接在jsp页面和Java代码都写:name,password... 以下为面向对象 2.action类实现Model ...
    
			
    4. 
						
  4. MacOS下搭建python环境
			
    1. 安装须知 Mac OS自身其实已经带有Python,版本为2.7.X,这个Python主要用于支持系统文件和XCode,所以我们在安装新的Python版本时候最好不要影响这部分. 这里就会出现一 ...
    
			
    5. 
						
  5. HDU 5225 枚举
			
    题目链接: hdu:http://acm.hdu.edu.cn/showproblem.php?pid=5225 bc(中文):http://bestcoder.hdu.edu.cn/contests ...
    
			
    6. 
						
  6. rsyslog配置文件详解(rsyslog.conf)
			
    # rsyslog configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # ...
    
			
    7. 
						
  7. L1正则化与L2正则化的理解
			
    1. 为什么要使用正则化   我们先回顾一下房价预测的例子.以下是使用多项式回归来拟合房价预测的数据:   可以看出,左图拟合较为合适,而右图过拟合.如果想要解决右图中的过拟合问题,需要能够使得 $  ...
    
			
    8. 
						
  8. float精度丢失的问题
			
    在做IPTV的时候,遇到以下这个问题: 现有一个float型数据,以下代码打印输出: float n = 40272.48f; System.out.println(new Double(n * 10 ...
    
			
    9. 
						
  9. [2017BUAA软工]第二次博客作业:代码复审
			
    〇.comment链接 https://github.com/hanayashiki/Sudoku/issues/1 一.代码复审 1.概要部分 (1)代码能符合需求和规格说明么? 经测试,对于合法输 ...
    
			
    10. 
						
  10. PHP上传文件限制的大小
			
    修改PHP上传文件大小限制的方法 1. 一般的文件上传,除非文件很小.就像一个5M的文件,很可能要超过一分钟才能上传完.但在php中,默认的该页最久执行时间为 30 秒.就是说超过30秒,该脚本就停止 ...
    
			
    11.