Keystone Fernet tokens

最新推荐文章于 2024-04-20 16:22:43 发布
最新推荐文章于 2024-04-20 16:22:43 发布
阅读量6.5k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: keystone
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wllabs/article/details/79064094
本文介绍了Fernet Token的特点及其在OpenStack中的应用。Fernet Token采用对称加密方式,具有非持久化、轻量级等特性,能有效降低云平台运行开销。文章还详细解析了Fernet Token的内容构成、大小及验证机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

FENET是一种安全的消息传递格式,已被国外的一些公司用于API token中。解决了OpenStack面临的许多相同问题。它们的非持久的、轻量级的特性可以降低运行云所需的开销。

fernet_token格式如下:

gAAAAABaVhKmk-inDnXQjDU-w6bw4BHhVhTAIOIspvGV6vZXHh8P9Kd6FMYdXeR6R8z_JfccBZxyTfooHvomBGhsrodIhWpAkL3lf-bqsAxr9byzPPQyyoHfp_IlOh2OgSngyt9NFVu39Sj4CM_vcInpBOCdMzMeGT7D0BRpyDC-6ziRpTmBlak

 

 

非持久化:不像UUID的token,fernet tokens 不需要被持久化到数据库。

是的!这意味着这个token将是永远是可以用的:

> SELECT * FROM `token`;
Empty set ( 0.00  sec)

 

 

轻量级:与 PKI token 相比,他们比较短,偏向于最小的身份信息和动态授权环境。

它们通常在180到240字节的范围内。从客户端的角度来看,您可以将它们完全视为 UUID token。

 

对称加密:Fernet 使用 AES-CBC 加密,并使用 SHA256 HMAC 进行签名。

简而言之,OpenStack的身份验证和授权元数据都被打包成一个包,然后将其加密并签名为 Fernet token。 OpenStack 支持 三阶段 密钥循环模型,能有效支持密钥的轮询切换和替代。

 

Fernet tokens 包含些什么?

Fernet tokens 包含最少的身份和授权信息:刚好可以让 keystone 实现完整的 token 验证。

在一般情况下(project-scoped token),一个token 会包含一个user id 和 一个 project id,以及一些元数据,如令牌创建时间戳,token时间周期,审计ID和认证方法。 domain-scoped token 会包含 domain ID而不是 project ID。 基于信任的token 将包含信任标识。 基于联合的 token 将包含 有关联盟本身的信息。

除了 token 创建时间戳以外,所有这些都是加密的,因为它是 fernet token 加密消息 的一部分。 fernet 做为包含这些信息的载体,fernet的更多细节可以参考这个https://github.com/fernet/spec/blob/master/Spec.md

如果你想查看一个 fernet 内容,在打包和解包中你将会体会到fernet token 有多复杂和精密。

 

Fernet令牌有多大?

下面可以看一个 project-scoped Fernet token:

gAAAAABaVhKmk-inDnXQjDU-w6bw4BHhVhTAIOIspvGV6vZXHh8P9Kd6FMYdXeR6R8z_JfccBZxyTfooHvomBGhsrodIhWpAkL3lf-bqsAxr9byzPPQyyoHfp_IlOh2OgSngyt9NFVu39Sj4CM_vcInpBOCdMzMeGT7D0BRpyDC-6ziRpTmBlak

上面就只有186个字节,通常都会控制在255字节内。虽然255字节没有硬性限制,并且很长的token虽然存储到数据库里不是什么问题,但是长的 token 用户体验不好。 也有不好的事情,比如一些非UUID的用户可能会有额外的安全风险。

更另人吃惊的是,如果一个用户属于多个组,有可能是属于无穷多的组的时候,这个fernet token就也会相应的很庞大,不过现实私有云环境中,也不太可能一个用户属于3个组以上。

不过如果你将user 分配到二个不同的组,你很快就会看到 Fernet token 的长度迅速增加。

 

Fernet令牌可以离线验证吗?

可以进行一些离线验证,例如验证 token 是否是正确的 Fernet token,并验证创建日期。 但是,如果没有签名密钥或加密密钥,就不能离线验证了。

 

性能怎么样?

Fernet token 的性能比 UUID token 快 85%,比 PKI token 快89%。 

 

怎么配置并使用 Fernet?

只需要以下几步。

1,通过更改 keystone.conf 中[token]下的 provider:

[token]
provider = fernet

 

2,初始化密钥库:

mkdir /etc/keystone/fernet-keys/
keystone-manage fernet_setup


初始化密钥库后,会在 key_repository 里生成一对密钥:一个staged key 用于解密tokens,一个 primary key 用于加密token。

 

3,在部署多节点 keystone 集群时,这时候需要将  key_repository /etc/keystone/fernet-keys/  里的目录和文件 复制到每个其他的keystone节点相对应的目录上。这样确实可以用 fernet token 可以在不同的节点上使用相当的密钥进行解密。


Openstack组件部署 — Keystone Install & Create service entity and API endpoints
烟云的计算
06-14 1万+
目录目录 前文列表 Install and configure Prerequisites 先决条件 Create the database for identity service 生成一个随机数 Install and configure components Configure the Apache HTTP server Create the service entity and API e
Keystone验证过程
云计算
11-27 2567
Keystone验证过程 使用nova list命令跟踪: /usr/lib/python2.6/site-packages/novaclient/shell.py 667行 其中self.cs.authenticate()主要是去keystone获取token ,具体方法如下:   /usr/lib/python2.6/site-packages/novaclient/cli
Fernet Token in Keystone v3 (by quqi99)
技术并艺术着
08-30 6622
**作者:张华 发表于:2016-08-11 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.youkuaiyun.com/quqi99 )**问题的由来 - UUID: nova client通过user/pass从keystone获取UUID Token(UUID为一段32位字符串),nova client还得再拿UUID去ke
keystone fernet token(gAAAAA开头的token)反向解析
oba没有马
07-26 1863
keystone的token分成很多种,其中一种是fernet token,是无需存库的,直接将信息加密成一串字符串,形如 gAAAAABbWVmgqmOqekHLGAP5-JjSIE_-cGzKZYeADNMmEu0d6nGvZ2rBMgN7EvAGHSkrcOo3JourXwz9TG6zIrsxWBxK4iK6B2I6zBL7a-s9bHAb0qqUSwGqXRoIiZdCHfN58Hgq...
openstack keystone token鉴权 代码走读
hello
08-06 324
keystonemiddleware token校验
二,openstack之keystone的简介与安装目录
weixin_44767040的博客
04-17 1481
openstack之认证服务keystone的安装 一,openstack服务安装的通用步骤 1,创库授权 2,在keystone创建用户,关联角色 3,在keystone上创建服务,注册api 4,安装服务相关的软件包 5,修改配置 数据库的连接 keystone的认证授权信息 rabbitmq的连接信息 其他服务的连接配置 6,同步数据库,创建表 7,启动服务 二,keystone的简介 1,keystone是openstack的身份服务,可以简单理解为“与权限有关”的组件
linux卸载keystone服务,OpenStack —— 认证服务Keystone(二)
weixin_29214559的博客
05-03 1023
一、Keystone介绍Keystone(OpenStack Identity Service)是OpenStack框架中,负责身份验证、服务规则和服务令牌的功能, 它实现了OpenStack的Identity API。Keystone类似一个服务总线, 或者说是整个Openstack框架的注册表, 其他服务通过keystone来注册其服务的Endpoint(服务访问的URL),任何服务之间相互的...
OpenStack搭建之keystone(2)
今天记得早睡的博客
04-20 373
在安装和配置Identity服务之前,必须创建数据库。创建OpenStack客户端环境脚本。
源码安装OpenStack Ussuri ---Keystone
qq_41864617的博客
08-23 1316
源码安装OpenStack Ussuri —Keystone篇 前面我们进行了准备的操作,现在开始源码安装KeystoneKeystone源码已经上传到我的gitee上面了,下面我们直接用这上面的源码 基础组件安装 dnf -y install python3-devel libffi-devel gcc openssl-devel git python3-pip httpd python3-mod_wsgi Keystone安装 从gitee上拉取指定版本源码并安装 git clone http
部署OpenStack(其二,Keystone的部署。图文详情!)
qq_35456705的博客
03-19 985
部署OpenStack(其一,Keystone的部署。图文详情!) 文章目录部署OpenStack(其一,Keystone的部署。图文详情!)一、Keystone介绍1、Keystone身份服务2、主要功能3、Keystone的管理对象4Keystone 认证流程二、OpenStack环境及资源分配三、Keystone组件的部署1、创建数据库实例和数据库用户2、安装、配置keystone、数据库、Apache3、创建OpenStack 域、项目、用户和角色Keystone的部署总结: 一、Keystone
OpenStack 学习笔记 (一)
dizhai7933的博客
07-16 303
后续的文章都贴在:臭蛋上 这一系列笔记已经记录很长一段时间了,种种原因没有贴出来,现在陆陆续续的贴出来。可能由于自己理解的 错误和疏忽,导致存在错误,欢迎大家指正,交流。 所有的源码分析都是基于OpenStack Folsom版本。 参考文档:http://hi.baidu.com/chenshake/item/184767c22c1231ba0d0a7b...
keystone从uuid token转到fernet token
FinixLei的专栏 (https://github.com/FinixLei)
12-21 2641
keystone从uuid token切换到fernet token
frenet解密代码实例
墨痕诉清风的博客
08-28 723
【代码】frenet解密代码实例。
Exception in thread "main" java.util.UnknownFormatConversionException: Conversion = ';'
Khandudu的博客
09-19 1万+
场景:邮件发送带html格式,利用%s带入参数到html中组成邮件内容串 错误:Exception in thread "main" java.util.UnknownFormatConversionException: Conversion = ';' 原代码: String templateStr ="<html>\n" + "<head&gt...
keystone令牌三种生成方式
Jian Sun_的博客
06-28 2038
keystone认证方式:UUID、PKI、Fernet; 通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 公开密钥加密,也称为非对称加密(asymmetric cryptography,加密密钥和解密密钥不相同).
OpenStack之keystone(用户认证)
weixin_42795092的博客
03-09 3099
1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication(认证)和 Authorization(授权)keystone的名词概念。
OpenStack3部署keystone组件
w1741699471的博客
12-07 1352
此文续接上一篇,openstack2节点通用组件安装,继续部署openstack,本节开始部署keystone组件Keystone组件是一个身份认证服务,用于管理和验证用户、服务和端点的身份信息。它提供了认证、授权等功能,确保用户和服务能够安全地访问和使用OpenStack云环境。
透明PictureBox示例
热门推荐
业余编程
08-13 1万+
这几天又有朋友问起透明PictureBox的问题,具体用了http://blog.youkuaiyun.com/jessezappy/article/details/2409939那些代码后出什么问题也不好逐一核查与解释,因此应各位网友需要,特制作了一个例子供大家参考。请将以下 begin 至 end 之间的文字复制到记事本,保存时选“所有文件”保存为“透明PictureBox示例.rar”再用rar打开即可
OpenStack Identity Keystone基本概念及验证进化过程
evandeng2009
06-29 3495
一、概念与关系     先上图,看user、credential、group、role、project/tenant、service、endpoint、domain、region;token、authentication、scope等彼此间的关系。 1. resource:project、domain 2. credential:可以是3个配对,username/password,use
rpm -qa|grep openstack-keystone openstack-keystone-16.0.2-1.el7.noarch cengos,Failed to discover available identity versions when contacting http://controller:5000/v3. Attempting to parse version from URL. Unable to establish connection to http://controller:5000/v3/auth/tokens: HTTPConnectionPool(host='controller', port=5000): Max retries exceeded with url: /v3/auth/tokens (Caused by NewConnectionError('<urllib3.connection.HTTPConnection object at 0x7f81835c14d0>: Failed to establish a new connection: [Errno 111] \xe6\x8b\x92\xe7\xbb\x9d\xe8\xbf\x9e\xe6\x8e\xa5',))
最新发布
03-29
provider = fernet # 确保使用有效token生成方式 [DEFAULT] admin_endpoint = http://10.2.5.156:35357/v3 # 需与实际IP一致 public_endpoint = http://ct:5000/v3 ``` #### 6. 日志分析 查看关键日志定位具体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值