stackstorm 21. stackstorm的校验方式

最新推荐文章于 2024-08-06 05:25:13 发布
最新推荐文章于 2024-08-06 05:25:13 发布
阅读量742 收藏
点赞数
分类专栏: stackstorm
本文介绍StackStorm的认证服务配置与使用,包括默认密码、更改密码的方法、配置文件详解、单机与代理模式的区别、不同后端的支持及配置示例、API密钥的创建与管理等内容。

1 校验


如果仅仅需要默认的密码,使用用户名st2admin,密码 Ch@ngeMe
需要改变密码吗? 运行: sudo htpasswd /etc/st2/htpasswd st2admin
更复杂的情况则需要阅读stackstorm的校验。

StackStorm包含了一个校验服务,该服务用于处理用户校验并且会生成有过期时间的
token。当校验开启时(默认开启),这些tokens会在发送st2 rest apis请求时被校验。

逻辑流程图如下:
用户: 发送校验凭证(例如: 用户名,密码)    --->    st2auth服务: 执行校验    ---> 校验后端
st2auth服务: 返回用户可访问范围的token    --->    用户

2 配置服务


默认情况下,st2配置文件是在/etc/st2/st2.conf。配置文件中auth部分的就是配置访问权限的内容。
该服务可以配置不同的后端(例如: PAM, LDAP等等)来处理校验。如果校验后端没有被指定,
一个兼容htpasswd的平面文件校验后端就会被时用。
我们推荐服务监听https(use_ssl选项)并且可以被st2 clients访问。
host: 服务监听的主机名称
port: 服务监听的端口
use_ssl: 设置为True会开启SSL/TLS模式
cert: ssl凭证文件。只有当use_ssl被设置为True的时候使用
key: SSL私有key文件的路径。只有当use_ssl被设置为True的时候使用
mode: 使用proxy模式或者standalone(单机)模式。默认是standalone。
backend: 在standalone模式中使用的校验后端(例如pam, flat_file)。请查看
支持的校验后端。
backend_kwargs: JSON序列化参数,可以在standalone模式中被传递给校验后端。
token_ttl: token的生命周期,单位是秒。默认情况下,token会在24小时后过期。
api_url: 校验服务也充当服务访问目录的角色。当校验成功的时候,它返回一个url到API端点。
    这些信息会被clients使用,例如:CLI和web UI。这个设置需要包含一个public的base URL
    来到API端点(排除API版本)。例如: https://myhost.example.com/api/
enable: stackstorm的api校验不会开启除非被设置为True。如果在多个服务器上运行StackStorm,请
    确保这个在所有st2系统上都被设置为True。
debug: 开启debug模式。

如果你做了任何改动,你需要重启st2。
sudo st2ctl restart

3 单机校验模式


单机模式是默认校验模式,在该模式中外部用户直接和stackstorm校验。
st2auth服务向配置的backend后端执行校验。当后端服务校验用户成功后,
就会返回一个校验token。这个token可以被用于后续的API调用。

4 代理校验模式


代理模式可以用于有一个服务在st2的前方时,该代理去执行用户校验(
例如load balancer, apache, nginx等等)。当前端服务校验了一个用户,
它需要发送一个api调用:
POST https://<stackstorm>/auth/v1/tokens
到st2auth服务来获取一个校验token。在下面的CGI环境中请求中的变量需要设置:
REMOTE_ADDR: 请求源(代理校验用户所在的主机名或ip)
REMOTE_USER: 代理模式校验下的用户身份(用户名)

请求将会返回一个校验token用于校验用户使用后续的API调用。
当使用一个代理例如Apache在st2auth的前面时,这两个CGI环境变量通常可以被代理
自动设置,直到校验成功。

5 校验后端


校验服务可以配置不同的后端(例如PAM, LDAP等等)来处理校验。
如果一个后端没有被指定,一个兼容 htpasswd的平面文件校验后端就会
被时用。为了使用一个不同的后端,需要从st2社区repos中选择和安装正确的python包
并配置st2auth。
例如,为了手动安装用于PAM后端的包,在运行st2auth的相同的服务端运行如下的命令:
$ sudo /opt/stackstorm/st2/bin/pip install git+https://github.com/StackStorm/st2-auth-backend-pam.git@master#egg=st2_auth_backend_pam

当校验后端安装了,在/etc/st2/st2.conf中配置校验后端,并重启st2.
详细的配置细节可以在对应repo的README。下面是一个配置文件中采用PAM作为校验部分的例子:
[auth]
mode = standalone
backend = pam
enable = True
use_ssl = True
cert = /path/to/ssl/cert/file
key = /path/to/ssl/key/file
logging = /etc/st2/logging.auth.conf
api_url = https://myhost.examples.com/api/
debug = False

下面是一个校验后端列表:
pam: https://github.com/StackStorm/st2-auth-backend-pam
flat-file: https://github.com/StackStorm/st2-auth-backend-flat-file
OpenStack Keystone: https://github.com/StackStorm/st2-auth-backend-keystone


6 LDAP(企业版本)


......

7 重启服务


st2auth被设置为以服务的方式运行。它运行在gunicorn。
这个服务被可以通过下面列表中的任意一个启动:
# Individually
sudo service st2auth start

# Individually via st2ctl
sudo st2ctl start st2auth

# Collectively with other st2 components
sudo st2ctl start

# Using the launcher for debugging purposes
sudo /usr/bin/st2auth --config-file /etc/st2/st2.conf

8 测试


运行下面的curl命令来测试:
# If use_ssl is set to True, the following will fail because SSL is required.
curl -X POST http://myhost.example.com/auth/v1/tokens

# The following will fail with 401 unauthorized. Please note that this is executed with "-k" to skip SSL cert verification.
curl -X POST -k https://myhost.example.com/auth/v1/tokens

# The following will succeed and return a valid token. Please note that this is executed with "-k" to skip SSL cert verification.
curl -X POST -k -u yourusername:'yourpassword' https://myhost.example.com/auth/v1/tokens

# The following will verify the SSL cert, succeed, and return a valid token.
curl -X POST --cacert /path/to/cacert.pem -u yourusername:'yourpassword' https://myhost.example.com/auth/v1/tokens

9 用法


一旦st2auth开启了,API调用需要在请求中加入token。命令行调用需要通过参数的形式或者环境变量
中携带token。
为了通过命令行获取一个新的token,运行st2 auth命令。如果密码没有提供,st2 auth将会提示密码。
如果成功,就会在响应中返回一个token。

# with password
st2 auth yourusername -p 'yourpassword'

# without password
st2 auth yourusename
Password:

如果你的密码中含有特殊字符$,他们会被shell解释。将你的密码中包裹一个'。
下面是一个通过curl携带token调用API的简单例子:
$ curl -H "X-Auth-Token: 4d76e023841a4a91a9c66aa4541156fe" https://myhost.example.com/api/v1/actions

这等同于下面的命令:
# Include the token as command line argument.
st2 action list -t 4d76e023841a4a91a9c66aa4541156fe

# Or set the token as an environment variable.
export ST2_AUTH_TOKEN=4d76e023841a4a91a9c66aa4541156fe
st2 action list

可能存在某种场景,你想获取一个非默认TTL的token。你可以在请求token时指定一个TTL(
单位是秒)。例如,请求一个只有10分钟有效时间的token:
# with TTL and password
st2 auth yourusername -p 'yourpassword' -l 600

注意,如果请求的TTL大与配置所允许的最大TTL,你会得到一个错误。

如果你不想在启动一个新的shell会话的时候查询新的token并配置在环境变量中配置,
你可以将你的st2即哦呵言信息放入命令行配置文件中。
然后命令行将会自动校验,查找和缓存你的校验token。

如何像上述这样做,请看如下文章:
https://docs.stackstorm.com/reference/cli.html#cli-configuration

10 API Keys


st2也支持API keys。这个不同于token,因为它们不会过期。
这个使得它们适配用于继承其他应用,例如: webhooks。
所有的API key管理当前可以通过st2命令行或者API来获取。

创建一个API key:
st2 apikey create -k -m '{"used_by": "my integration"}'
<API_KEY_VALUE>

注意:
为了安全起见, <API_KEY_VALUE> 仅仅在创建的时候显示一下。
st2本身不会存储API key的值到数据库中,仅仅会存储单向的hash。
它不可以在创建之后通过查询API key。如果API key丢失了或者在
创建的时候没有被记录下来,删除这个API key并重新创建一个新的。

可选属性-m包含了创建的key的元数据信息。最佳实践时分配一个有意义的
值例如使用这个key的外部服务名称来与st2进行验证。
针对API keys的命令行支持: get, list, delete, enable和disable命令。
如果一个API key被禁用了,将不允许访问它。直到API key被再次开启。
对于临时取消外部服务访问st2是一种好的方式。

11 API Key用法


API key被设计用于API访问。到目前位置,它们不能通过client例如UI和CLI使用。
下面是一个使用API Keys来通过curl进行API调用的样例:
$ curl -H "St2-Api-Key: <API-KEY-VALUE>" https://myhost.example.com/api/v1/actions
$ curl https://myhost.example.com/api/v1/actions?st2-api-key=<API-KEY-VALUE>


12 API Key迁移


API keys可以从一个st2实例迁移到另一个上。这种方式使得
已经配置了API Keys的外部服务不需要更新一系列keys。遵循如下的步骤进行迁移:
......

13 在API中使用校验Tokens或者API Keys


为了通过st2 api校验,要么提供一个校验token,要么提供一个API key,
它需要被放在HTTP请求的头部中。头部叫做X-Auth-Token, St2-Api-Key。

如果因为某种原因你不能在headers中指定一个校验token或者API key
(例如: 你正在使用一个第三方服务来集成到StackSTorm,而这个服务不允许你指定
定值的headers),你可以以查询参数x-auth-token和st2-api-key的形式各自提供它们
中的一个。
下面是一些关于如何在headers中发送校验token和API key的例子,查询参数使用了curl:
在请求头部提供它们:
$ curl -H "X-Auth-Token: <auth token value>" https://myhost.example.com/api/v1/actions
$ curl -H "St2-Api-Key: <api key value>" https://myhost.example.com/api/v1/actions

作为一个查询参数提供它们:
$ curl "https://myhost.example.com/api/v1/actions?x-auth-token=<auth token value>"
$ curl "https://myhost.example.com/api/v1/actions?st2-api-key=<api key value>"


参考:
https://docs.stackstorm.com/authentication.html
https://www.jb51.net/article/59468.htm

Java使用 java.util.regex.Pattern 正则表达式校验参数值是否规范
hkl_Forever的博客
07-22 2540
java中我们可以利用 @Pattern 注解对某个入参进行规则校验,但有些特殊参数在接口入口处不方便校验,需要在代码中校验。1、校验手机号:@Pattern(regexp = "^0?1[0-9]\\d{9}$", message = "手机号格式不正确")从结果看,使用 java.util.regex.Pattern 配合正则表达式可以校验字符,符合预期。示例正则表达式 ^[a-zA-Z0-9]+$ 限制只能输入大小写字母、和数字。1、输入特殊字符、空格等校验2、输入符合表达式的字符。
Stackstorm的介绍与入门
热门推荐
夜深人静后的码农
04-05 1万+
昨天一位技术大牛问我关于在运维过程中对于故障自适应有什么解决方案吗?我简单地回答了一下,自我感觉不是很完美,后来他和我分享了stackstorm,让我了解一下。我回到家立刻查看一下,发现stackstorm在故障自适应方面做得非常的成熟,设计思路也非常棒。昨晚一口气把官网的资料看了一大半。后来考虑到官网文档都是英文,为了后期和国内的朋友分享,所以把一些主要的部分简单翻译一下(个人建议,要是能直接阅...
StackStorm分析(五)Inquiry说明
wlhdo71920145的博客
05-16 1356
StackStorm介绍       StackStorm是一个强大的自动化平台,结合DevOps和ChatOps,提供可扩展、灵活和健壮的工具链用于应用、服务和工作流的自动化能力。  Inquiry         在自动化任务执行的过程中,往往会需要等待确认的步骤,比如需要人工审核,需要外部系统的确认。为此StackStorm提供一种Action的交互机制Inquiry,通过执行core.as...
docker数据圈_「数据中心运维」集成和自动化的平台 StackStorm概述
weixin_39586683的博客
12-13 237
关于StackStorm是一个用于跨服务和工具进行集成和自动化的平台。它将您现有的基础结构和应用程序环境联系在一起,这样您就可以更容易地自动化该环境。它特别关注在事件发生后采取的行动。StackStorm帮助自动化常见的操作模式。一些例子:方便的故障诊断——触发Nagios、senu、New Relic和其他监控系统捕获的系统故障,对物理节点、OpenStack或Amazon实例和应用程序组件进行...
stackstorm-napalm:一个StackStorm包,用于使用NAPALM库处理网络设备
05-22
纳帕 是一个Python库,用于简化和抽象与网络设备的某些编程通信,从而使多供应商网络自动化更加容易。 此软件包引入了新功能,这些功能允许StackStorm用户以传感器,动作等形式利用StackStorm中的NAPALM。 该软件包利用NAPALM库来允许ST2执行多供应商网络自动化。 该软件包正在积极开发中,暂时应视为BETA状态。 如果您遇到此包的任何问题,请打开github问题或请求请求 安装 要安装此包,只需运行: st2 pack install napalm 用法 对于许多操作,唯一需要的参数是hostname 。 您可能从NAPALM熟悉的大多数“内务管理”选项(例如凭据或驱动程序类型)都在包配置中处理。 有关更多信息,请参见“配置”部分。 我们将以ping操作为例。 有了正确的配置,就可以正常工作: st2 run napalm.ping hostname
推荐项目:StackStorm —— 统一自动化和集成的强力工具
最新发布
gitblog_00056的博客
08-06 813
推荐项目:StackStorm —— 统一自动化和集成的强力工具 在快速发展的IT领域,自动响应事件并即时采取行动的能力变得至关重要。今天,我们来深入了解一个强大而灵活的平台——StackStorm,它为服务与工具之间的集成和自动化提供了全新的解决方案。 项目介绍 StackStorm是一个面向服务和工具的集成与自动化平台,能够在事件触发时执行预定义的动作。这个平台的核心理念在于通过自动化操作简化...
st2StackStorm(又称“ IFTTT for Ops”)是事件驱动的自动化,可进行自动修复,安全响应,故障排除,部署等。 包括规则引擎,工作流,具有6000多个动作的160个集成包(请参阅https:exchange.stackstorm.org)和ChatOps。 https://docs.stackstorm.cominstallindex.html上的安装程序。 有什么问题吗https:forum.stackstorm.com
02-04
StackStorm是一个跨服务和工具进行集成和自动化的平台,可对事件做出响应。 了解更多信息,请访问 。 TL; DR 安装获得适合的干净的64位Linux机器。 运行安装程序脚本: curl -sSL https://stackstorm.com/packages/install.sh | bash -s -- --user=st2admin --password=Ch@ngeMe 阅读文档: : 有什么问题吗查看 或加入我们的 StackStorm概述 关于 StackStorm是跨服务和工具进行集成和自动化的平台。 它将您现有的基础架构和应用程序环境联系在一起,因此您可以
stackstorm 16.编写stackstorm的定时器
qingyuanluofeng的专栏
02-25 834
1 定时器基础 定时器从本质上来说就是stackstorm中的rule。 规则对trigger触发器到action(或工作流)做了映射。应用匹配的criteria并且 映射trigger payloads到动作的输入。 说白了rules包含trigger,action,criteria(可以不需要)3个部分,来将事件 的触发映射到动作的执行。 trigger是前置条件,如果触发,则继续查看cr...
「已解决」React Antd Form.List 表单校验无飘红提示的问题
Constantiny的博客
07-27 2872
比如我有这样一段代码来实现对 list 具体内容的校验,但是写完后发现没有提示,打 console.log 发现也能进入到 throw new Error 里面去,但是就是没有飘红提示。我想对 Form.List 构建的表单进行校验,比如下拉框中的内容应当至少有一个 XX,表单的长度不能少于多少等等对 List 内容进行校验,并给出飘红提示。看官网,对 Form.list 整体进行校验需要加上 ErrorList 才能正常显示 飘红提示。
【uniapp dcloud开发使用云函数,查询数据库报错:PERMISSION_ERROR, [uni-id-users.password.read]权限校验未通过】
jsmylo的博客
02-06 1万+
uniapp,dcloud,云函数,PERMISSION_ERROR,[uni-id-users.password.read]权限校验未通过
FCS校验计算器.rar
12-17
该协议基于串行通信,提供了一种简单而有效的连接方式,能够实现数据的双向传输。在HOST LINK通信中,FCS校验是保证数据准确传输的关键部分,它通过计算并附加一个校验码到数据帧的末尾,接收端再根据这个校验码验证...
mistral_dev:[不建议使用!] StackStorm Pack可自动进行与Mistral开发,测试和发布有关的各种操作
03-02
已弃用! 不赞成使用Mistral工作流引擎,而推荐使用本机StackStorm Orquesta工作流引擎。 请改用Orquesta: : mistral_dev StackStorm Pack可自动执行与Mistral开发,测试和发布有关的各种操作 在工作流程中使用。 摘自
st2-docker:StackStorm docker-compose部署
02-04
st2-docker:StackStorm docker-compose部署
StackStorm与ChatOps
weixin_34208185的博客
12-30 340
2019独角兽企业重金招聘Python工程师标准>>> ...
stackstorm 10. Packs
qingyuanluofeng的专栏
01-21 675
1 Packs 一个Pack是用于扩展StackStorm集成和自动化的开发单元。典型地,一个pack被单独 以service或者产品边界所组织,例如AWS, Docker, Sensu等等。一个Pack可以包含 Actions, Workflows, Rules, Sensors和Aliases。StackStorm的内容也是作为一个 pack的部分,因此理解如何创建packs和使用它们很重...
StackStorm centos6.5 安装
spur_man的博客
05-10 865
在安装StackStorm之前,需要安装MongoDB,RabbitMQ,and PostgreSQL。根据官网介绍,目前支持的MongoDB 的版本是3.4,MongoDB 3.6与StackStorm还不兼容。StackStorm的后续版本会对3.6进行兼容。 安装MongoDB,RabbitMQ,and PostgreSQL 在/etc/yum.repos.d目录下创建一个文件mon...
StackStorm分析(一)StackStorm介绍
wlhdo71920145的博客
05-16 9311
StackStorm介绍       StackStorm是一个强大的自动化平台,结合DevOps和ChatOps,提供可扩展、灵活和健壮的工具链用于应用、服务和工作流的自动化能力。  StackStorm核心概念 StackStorm的工作步骤大体如下:       1. StackStorm Sensor感应并触发事件。       2. Rules Engine对事件进行规则匹配,如果匹配产...
stackstorm 11. Webhooks
qingyuanluofeng的专栏
01-21 517
1 Webhooks Webhooks允许通过使用HTTP webhooks集成外部系统到StackStorm中。 不像传感器sensor使用的pull方法,webhooks使用了一个push方法。 它们通过使用HTTP Post请求将触发器trigger直接推到StackStorm的API中。 2 Sensors和Webhooks 传感器集成到外部系统并且,服务使用了一种polling...
Java接口校验的三种实现方式详解
其次,MVC拦截器也是一种常用的接口校验方式,适用于基于Spring MVC框架的应用。在Spring MVC中,可以通过创建`HandlerInterceptor`接口的实现类,并在配置文件中注册,以便拦截每个HTTP请求。拦截器可以在`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值