一、概况

1. 请求认证token时,需发送的认证信息包括:

2. 如果认证成功,会获得认证token

3. 在发送的API请求中将认证token填入X-Auth-Token字段。可以一直使用这个认证token发送API请求,直到任务完成或出现401非认证错误。

4. 如果出现401非认证错误,可以重新请求一个认证token。

二、详细流程举例

说明:以下例子会使用到cURL( http://curl.haxx.se/)和OpenStack APIs( http://developer.openstack.org/api-ref.html)

1、认证过程

使用如下命令请求认证token:

$ curl -i 'http://127.0.0.1:5000/v2.0/tokens' -X POST -H "Content-Type: application/json" -H "Accept: application/json"  -d '{"auth": {"tenantName": "admin", "passwordCredentials": {"username": "admin", "password": "secretsecret"}}}'

如果认证成功,将获得200 OK响应报文,其中响应body包含了一个token和过期时间,前者格式为"id":"token",后者格式为"expires":"datetime"。详细情况如下:

HTTP/1.1  OK

Vary: X-Auth-Token

Content-Type: application/json

Content-Length:

Date: Wed,  Nov  :: GMT


{


  "access": {


      "token": {

            "issued_at": "2013-11-06T20:06:24.113908",

            "expires": "2013-11-07T20:06:24Z",

            "id": "{token}",

            "tenant": {

                "description": null,

                "enabled": true,

                "id": "604bbe45ac7143a79e14f3158df67091",

                "name": "admin"

            }

        },

        "serviceCatalog": [

            {

                "endpoints": [

                    {

                        "adminURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091",

                        "region": "RegionOne",

                        "internalURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091",

                        "id": "9851cb538ce04283b770820acc24e898",

                        "publicURL": "http://166.78.21.23:8774/v2/604bbe45ac7143a79e14f3158df67091"

                    }

                ],

                "endpoints_links": [],

                "type": "compute",

                "name": "nova"

            },

            ...

        "user": {

            "username": "admin",

            "roles_links": [],

            "id": "3273a50d6cfb4a2ebc75e83cb86e1554",

            "roles": [

                {

                    "name": "admin"

                }

            ],

            "name": "admin"

        },

        "metadata": {

            "is_admin": ,

            "roles": [

                "b0d525aa42784ee0a3df1730aabdcecd"

            ]

        }

    }

} 




2、发送API请求过程


说明:以下使用 Identity API (http://developer.openstack.org/api-ref-identity-v3.html)和Compute API (http://developer.openstack.org/api-ref-compute-v2.html)的请求举例。


2.1 使用Identity API 请求tenants list,如下:




$ curl -i -X GET http://166.78.21.23:35357/v2.0/tenants -H "User-Agent: python-keystoneclient" -H "X-Auth-Token: token"






结果内容:
{

    "tenants_links": [],

    "tenants": [

        {

            "description": null,

            "enabled": true,

            "id": "3eddf34c2f814bd5bc50a382f8fba1c6",

            "name": "demo"

        },

        {

            "description": null,

            "enabled": true,

            "id": "604bbe45ac7143a79e14f3158df67091",

            "name": "admin"

        },

        {

            "description": null,

            "enabled": true,

            "id": "78323d3574e6421b98fe5894475c69fe",

            "name": "service"

        },

        {

            "description": null,

            "enabled": true,

            "id": "da73856734d84ec29958b048d8708d82",

            "name": "invisible_to_admin"

        },

        {

            "description": null,

            "enabled": true,

            "id": "ee30a93eaade41acbcf210780dd7a0ba",

            "name": "alt_demo"

        }

    ]

}




2.2 使用Compute API 请求servers list,如下:




$ curl -v -H "X-Auth-Token:token" http://208.123.85.197:8774/v2/tenant_id/servers






结果内容:
{

    "server": {

        "adminPass": "MVk5HPrazHcG",

        "id": "5bbcc3c4-1da2-4437-a48a-66f15b1b13f9",

        "links": [

            {

                "href": "http://openstack.example.com/v2/openstack/servers/5bbcc3c4-1da2-4437-a48a-66f15b1b13f9",

                "rel": "self"

            },

            {

                "href": "http://openstack.example.com/openstack/servers/5bbcc3c4-1da2-4437-a48a-66f15b1b13f9",

                "rel": "bookmark"

            }

        ]

    }

}




三、详细流程图




如果给出tenant直接从以下步骤开始:












四、keystone


keystone的管控主要针对三个方面:


1、用户,对用户进行认证
2、服务,管理服务的访问点
3、权限,即role,这里的role相对比较复杂:
	role的定义不只依靠keystone,也依赖于各个服务组件对role的认可,其中由于user可以属于多个project,所以仅对user是无法管理权限的,只能针对(user,project)对进行权限管理。
1)权限管理抽象成role后,keystone负责记录并绑定role和(user,project)对
2)各服务组件在其自身的policy.json中定义role和各个具体操作之间的认可关系。


整个流程:
1.用户首先到keystone认证,获取token,同时会获取service endpoints
2.用户使用token访问心仪的service endpoint,这里token只是管控user对service的进入,但是不管控user在service里面的具体operation
3.service会根据用户的请求识别role,然后检测policy.json里面该role所绑定的operation,以此来许可operation


参考文章:


http://docs.openstack.org/api/quick-start/content/index.html#authenticate


http://docs.openstack.org/icehouse/install-guide/install/yum/content/keystone-concepts.html
												


											
openstack身份认证与API请求流程的更多相关文章
	

    
								
  1. Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(三)
		
    在前面两篇文章中,我介绍了基于IdentityServer4的一个Identity Service的实现,并且实现了一个Weather API和基于Ocelot的API网关,然后实现了通过Ocelot ...
    
		
    2. 
						
  2. 【React全家桶入门之十】登录与身份认证
		
    细致想想,我们的后台系统还没有一个登录功能,太不靠谱,赶紧把防盗门安上! SPA的鉴权方式和传统的web应用不同:因为页面的渲染不再依赖服务端,与服务端的交互都通过接口来完毕,而REASTful风格的 ...
    
		
    3. 
						
  3. react 项目实战(九)登录与身份认证
		
    SPA的鉴权方式和传统的web应用不同:由于页面的渲染不再依赖服务端,与服务端的交互都通过接口来完成,而REASTful风格的接口提倡无状态(state less),通常不使用cookie和sessi ...
    
		
    4. 
						
  4. RESTful Api 身份认证安全性设计
		
    REST是一种软件架构风格.RESTful Api 是基于 HTTP 协议的 Api,是无状态传输.它的核心是将所有的 Api 都理解为一个网络资源.将所有的客户端和服务器的状态转移(动作)封装到 H ...
    
		
    5. 
						
  5. RESTful Api 身份认证中的安全性设计探讨
		
    REST 是一种软件架构风格.RESTful Api 是基于 HTTP 协议的 Api,是无状态传输.它的核心是将所有的 Api 都理解为一个网络资源.将所有的客户端和服务器的状态转移(动作)封装到  ...
    
		
    6. 
						
  6. api接口对于客户端的身份认证方式以及安全措施
		
    转载 基于http协议的api接口对于客户端的身份认证方式以及安全措施 由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsession ...
    
		
    7. 
						
  7. 【译】使用Jwt身份认证保护 Asp.Net Core Web Api
		
    原文出自Rui Figueiredo的博客,原文链接<Secure a Web Api in ASP.NET Core> 摘要:这边文章阐述了如何使用 Json Web Token (Jw ...
    
		
    8. 
						
  8. 最简单易懂的Spring Security 身份认证流程讲解
		
    最简单易懂的Spring Security 身份认证流程讲解 导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确 ...
    
		
    9. 
						
  9. Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(四)
		
    在上一讲中,我们已经完成了一个完整的案例,在这个案例中,我们可以通过Angular单页面应用(SPA)进行登录,然后通过后端的Ocelot API网关整合IdentityServer4完成身份认证.在 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. mariadb BINLOG_FORMAT = STATEMENT 异常
			
    当在mariadb中插入数据是报 InnoDB is limited to row-logging 异常: java.sql.SQLException: Cannot execute statemen ...
    
			
    2. 
						
  2. 冲刺ing-4
			
    第四次Scrum冲刺 队员完成的任务 队员 完成任务 吴伟华 Leangoo的看板截图,燃尽图 蔺皓雯 编写博客,学习后端设计 蔡晨旸 学习后端设计 曾茜 后端设计 鲁婧楠 服务器建构 杨池宇 学习后 ...
    
			
    3. 
						
  3. swift - tabBar图片设置的一些注意点
			
    图片大小尺寸 刚刚开始接触的话,从美工那边拿来的图标大小一般都是偏大的,就像这样: 在此建议,tabBar的图标大小可以是32*32,个人感觉效果不错 图片的颜色问题 如上图所示,该图标的期望颜色(也 ...
    
			
    4. 
						
  4. 在pycharm中使用scrapy爬虫
			
    目标在Win7上建立一个Scrapy爬虫项目,以及对其进行基本操作.运行环境:电脑上已经安装了python(环境变量path已经设置好), 以及scrapy模块,IDE为Pycharm .操作如下:  ...
    
			
    5. 
						
  5. 倒计时60s 代码
			
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...
    
			
    6. 
						
  6. String、StringBuilder与StringBuffer的区别
			
    1.String类是public.final修饰的. 在Java中,被final修饰的类是不允许被继承的,并且String它的成员方法都默认为final方法. 查看源码得知,String类其实是通过c ...
    
			
    7. 
						
  7. LoadRunner函数大全之中文解释
			
    LoadRunner函数大全之中文解释
    
			
    8. 
						
  8. jdk&tomcat环境变量配置及同时运行多个tomcat方法
			
    一:jdk配置 安装jdk1.7.0_51,安装过程中所有选项保持默认:最后配置 JDK的环境变量: 在“我的电脑”上点右键—>“属性”—>“高级”—>“环境变量(N)”. 1.新建 ...
    
			
    9. 
						
  9. mysql 慢查询,查询缓存,索引,备份,水平分割
			
    1.开启慢查询 在mysql的配置文件my.ini最后增加如下命令 [mysqld]port=3306slow_query_log =1long_query_time = 1 2.查看慢查询记录 默认 ...
    
			
    10. 
						
  10. $(document).click() 在苹果手机上不能正常运行解决方案
			
    本来是如下一段跳转代码,发现在安卓和微信开发者工具上都能正常运行,但是苹果手机就不行了. $(document).on('click', '.url', function(){ location.hr ...
    
			
    11.