Quantum的权限认证(3)

最新推荐文章于 2021-02-07 09:39:29 发布
最新推荐文章于 2021-02-07 09:39:29 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: OpenStack OpenStack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/spch2008/article/details/9700071
本文详细介绍了量子计算项目中权限信息的加载过程,主要关注`quantumopenstackcommonpolicy.py`中的实现。文章指出全局变量`_checks`用于存储权限验证类,如`RuleCheck`和`RoleCheck`。通过装饰器,该模块在加载时完成初始化。当`or_list`包含多个元素时,会生成一个`OrCheck`对象,若需所有条件满足,则使用`AndCheck`。未匹配的情况下,会创建一个`GenericCheck`对象。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文地址:http://blog.youkuaiyun.com/spch2008/article/details/9700071

这里主要说一下,权限信息的加载过程。

quantum\openstack\common\policy.py中

全局变量_checks = {}是一个字典,存放各种权限验证类。比如;

{'rule':RuleCheck, 'role':RoleCheck},由于使用了装饰器,所以,此模块被加载时,_checks就被初始化了,具体可参见带参数的装饰器

def register(name, func=None):

    def decorator(func):
        _checks[name] = func
        return func

    if func:
        return decorator(func)

    return decorator

@register("role")
class RoleCheck(Check):
    def __call__(self, target, creds):
        """Check that there is a matching role in the cred dict."""

        return self.match.lower() in [x.lower() for x in creds['roles']]
由于register只传递一个参数'role',所以,register中func值为None,用返回的decorator函数装饰RoleCheck类,将类存放于_check中。 
class Rules(dict):
    
    @classmethod
    def load_json(cls, data, default_rule=None):
        
        rules = dict((k, parse_rule(v)) for k, v in
                     jsonutils.loads(data).items())
          
        return cls(rules, default_rule)
data为policy.json中的数据,jsonutils.loads将数据组织成字典返回。所以,对于数据 
{
"admin_or_owner": [["role:admin"], ["tenant_id:%(tenant_id)s"]],  
"get_port": [["rule:admin_or_owner"]],
}
实际返回的就是上述格式的字典,然后进行列表解析。 
def parse_rule(rule):
    
    if isinstance(rule, basestring):
        return _parse_text_rule(rule)
    return _parse_list_rule(rule)
rule是一个[["role:admin"], ["tenant_id:%(tenant_id)s"]]存放列表的列表,所以继续调用_parse_list_rule 
def _parse_list_rule(rule):
    #空条目,例如[],返回TrueCheck,永真
    if not rule:
        return TrueCheck()
		
    or_list = []
    for inner_rule in rule:
        if isinstance(inner_rule, basestring):
            inner_rule = [inner_rule]
   
        and_list = [_parse_check(r) for r in inner_rule]

        if len(and_list) == 1:
            or_list.append(and_list[0])
        else:
            or_list.append(AndCheck(and_list))

    # If we have only one check, omit the "or"
    if len(or_list) == 0:
        return FalseCheck()
    elif len(or_list) == 1:
        return or_list[0]

    return OrCheck(or_list)
得到的and_list如果只有一个,则可以直接加入or_list,如果有多个,需要合成一个AndCheck对象,表示每一个都需要匹配。

最终,如果or_list大于一个元素,则形成一个Orcheck对象。

原理很简单:对于[ ["role:admin"], ["tenant_id:%(tenant_id)s"] ]情况,只需要满足内部一个条件即可, OrCheck。

而对于 ["role:admin", "tenant_id:%(tenant_id)s"] 这种情况,需要每一个都要满足,需要一个AndCheck。

def _parse_check(rule):

    # Handle the special checks
    if rule == '!':
        return FalseCheck()
    elif rule == '@':
        return TrueCheck()

    try:
        kind, match = rule.split(':', 1)
    except Exception:
        return FalseCheck()

    if kind in _checks:
        return _checks[kind](kind, match)
    elif None in _checks:
        return _checks[None](kind, match)
    else:
        return FalseCheck()
对于一个规则,rule:admin_or_owner, 拆分成kind(rule)与match(admin_or_owner),如果是'rule','role'等创建相应的对象,

如果没有匹配,则创建一个GenericCheck。

AirPlay Video Certification-AirPlay视频认证
天天的博客
06-08 1197
本文档描述了在提交之前必须成功完成的测试用例自我认证
keystone 身份验证流程(2)
spch2008的专栏
07-19 8653
QuantumClient端的身份验证 第一部分: QuantumClent\shell.py中,有一个参数解析器。 def build_option_parser(self, description, version): # Global arguments parser.add_argument( '--os-
四千个厂商默认账号密码 默认登录凭证
热门推荐
weixin_43977912的博客
02-07 2万+
Product/Vendor Username Password Zyxel (ssh) zyfwp PrOw!aN_fXp APC UPS (web) apc apc Weblogic (web) system manager Weblogic (web) system manager Weblogic (web) weblogic weblogic1 Weblogic (web) WEBLOGIC WEBLOGIC Weblogic (web) PUBLIC PUBLIC Weblogic (web)
错误码说明
chengxunhg的博客
06-02 2198
背景信息 接口返回的错误码与Error Message不具有一一对应关系,表中只是列出比较常见的一种Error Message。 本服务接口以异步接口居多,有的错误码是在查询任务的返回体中体现的,http状态码有可能不是很准确。 本服务对网络、存储等服务具有强依赖性,Error Message显示依赖服务的错误消息时,处理措施需要联系技术支持。 在管理控制台进行操作时,如果显示错误码,错误...
Quantum权限认证(1)
spch2008的专栏
08-01 1542
在身份认证结束后,会进行权限认证,即验证用户是否有做此操作的权限。实际上,这一步将身份认证提供的信息 进行一些包装,在后续具体操作(例如get_port等)的过程中进行验证。 api-paste.ini中 [composite:quantumapi_v2_0] use = call:quantum.auth:pipeline_factory noauth = extensions q
[官版翻译]OpenStack centos版安装(三)
chimu9074的博客
04-04 157
部署OpenStack Identity服务。 继OpenStack云第二天,本文翻译自OpenStack安装与部署指南第五章内容,内容主要是安装OpenStack Identity Service(身份认证服务) 。OpenStack Identity服务负责管理用户与客户,项目...
keystone 身份验证流程(3)
spch2008的专栏
07-19 6562
quantum端采用的身份验证。 /etc/quantum/api-paste.ini中 [filter:authtoken] paste.filter_factory = keystone.middleware.auth_token:filter_factory auth_host = 172.16.4.1 auth_port = 35357 auth_protocol = http adm
Quantum权限认证(2)
spch2008的专栏
08-01 1314
当用户在命令行中输入 quantum port-show  时,最终将会转到 quantum\api\v2\base.py的Controller中的show方法。 def show(self, request, id, **kwargs): return {self._resource: self._view(self._item(request,
openstack quantum安装文档
04-23
- 详细解释了 Quantum 如何与 Keystone 配合工作来处理用户的身份认证权限验证。 - 包括了如何在 Quantum 中设置和使用角色、策略等安全机制。 **8. 高级操作特性** - **Logging Settings** - 介绍了如何配置...
Laravel开发-quantum
08-28
总之,"Laravel开发-quantum"项目是一个以Laravel框架为基础,结合RESTful API和RBAC设计的权限管理系统。它展示了如何利用Laravel的强大功能构建安全、高效的Web服务。对于希望学习Laravel或提升API开发技能的...
rest-interface.rar_quantum computing_rest_rest interface
09-22
5. **认证和授权(Authentication and Authorization)**: 为了确保安全,REST接口通常会包含身份验证和权限控制机制,比如OAuth2,以限制对量子计算资源的访问。 **REST接口的优势** - **简单易用**: REST接口...
基于四粒子簇态的认证受控量子安全直接通信协议
本篇论文《基于四粒子簇态的带认证的受控量子安全直接通信》由赵喆子健和陈秀波两位作者提出,发表在中国科技论文在线上。研究聚焦于量子信息领域的安全性增强,特别是在通信过程中确保数据的私密性和身份验证。他们...
MyCat 分片之枚举规则(多租户)
Valhalla6416的博客
08-04 453
myCat的一个重要功能就是数据库分片,允许你将一些规模较大的表分散到不同的数据库,来缓解数据库的压力,或者实现数据的隔离。 当然通过myCat来看,这些分片像是合起来的一张表,只是当sql到达myCat后,根据配置的分片规则,myCat去操作不同的数据库。 没有配置分片规则的表,需要配置为全局表,所有分片的数据是一样的。 如果没有配置分片规则,也没有配置为全局表,那么数据插入时所有分片插入,数据查询时所有分片都查出来,你有几个分片就会查出来几份数据。不过,你可以通过只给这个表配置一个数据节点,来达到
openstack 删除僵尸实例 删除实例 删除instance(非屏蔽外键)
spch2008的专栏
09-06 8218
之前看过一篇文章,用的是“暂时关闭外键检查”的方法删除数据库中得instance实例。我个人认为这样及其糟糕,会残留数据。 我的办法:逐一删除。 步骤一 1.回收floating ip     nova remove-floating-ip vm1 10.108.108.2 2.放入地址池     nova floating-ip-delete 10.108.1
openstack VNC noVNC(多网卡)
spch2008的专栏
11-16 7381
本文地址:http://blog.youkuaiyun.com/spch2008/article/details/8190863   对openstack的vnc配置一直比较模糊,所以决定下决心研究一番。 上图为官方文档中多节点,多网卡网络配置图。我的理解:99.99.99.0为公网地址,192.168.0.0为管理地址,10.0.0.0为虚拟机地址。假设上图nova-netwo
keystone 身份验证流程(1)
spch2008的专栏
07-19 7091
之前在网上看到一张keystone工作流程图,如下:     credentials实际就是用户名,密码种类的东西。通过用户名与密码向keystone进行注册,取得一个token。   curl -d '{"auth": {"tenantName": "$YOUR_TENANT_NAME", "passwordCredentials":{"username": "$YOUR_USER_N
OpenStack Quantum 网络架构图
spch2008的专栏
06-02 5888
本文地址:http://blog.youkuaiyun.com/spch2008/article/details/9008327 OpenStack F版,Quantum架构图,有些地方可能不是很准确。      1. 每创建一个虚拟机,都会创建一个前缀为qbr的网桥,然后网桥在与br-int相连。          有些疑问:为什么要通过一个网桥与br-int相连,而不是直接将vnet连到
OpenStack 单网卡 配置
spch2008的专栏
08-14 5741
本文地址:http://blog.youkuaiyun.com/spch2008/article/details/7862950 系统 1.下载Ubuntu server http://releases.ubuntu.com/12.04/ubuntu-12.04-server-amd64.iso 2.分配一个lvm格式的分区 3.最小化安装,只安装sshserver(按空
Kombu 基础
spch2008的专栏
09-10 4851
AMQP协议: Producer产生消息,将消息赋予路由信息,发送给exchange。 queue存储消息,并将消息发送Consumer bindings queues与exchange通过路由信息进行绑定。发送过来的消息带有路由信息,exchange提取路由信息和queues与exchange绑定的路由信息匹配,                   匹配成功后,将消息发给相应队列。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值