keystone获取token代码分析

最新推荐文章于 2022-06-08 22:10:59 发布
最新推荐文章于 2022-06-08 22:10:59 发布
阅读量1.9k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wqwqwqwq403/article/details/78863893
This blog delves into the step-by-step process of obtaining a token in Keystone, starting from the entry point 'authenticate_for_token' in the auth/controllers module, followed by validation, AuthInfo creation, AuthContext setup, and finally issuing the token through the token_provider_api." 104738368,9065522,关系数据模型详解,"['数据库', '数据模型', '数据库理论']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 入口 keystone->auth->controllers->authenticate_for_token

1.1 url:/auth/tokens

    def authenticate_for_token(self, request, auth=None)://auth是body体内容
        """Authenticate user and issue a token."""
        include_catalog = 'nocatalog' not in request.params//如果不明确指定,则包含catalog
                                                           //request.params是url后缀的内容
        *validate_issue_token_auth(auth)*//验证body体参数的合法性、有效性。

        try:
            auth_info = core.AuthInfo.create(auth=auth)
            auth_context = core.AuthContext(extras={},
                                            method_names=[],
                                            bind={})
            self.authenticate(request, auth_info, auth_context)
            if auth_context.get('access_token_id'):
                auth_info.set_scope(None, auth_context['project_id'], None)
            self._check_and_set_default_scoping(auth_info, auth_context)
            (domain_id, project_id, trust, unscoped) = auth_info.get_scope()

            # NOTE(notmorgan): only methods that actually run and succeed will
            # be in the auth_context['method_names'] list. Do not blindly take
            # the values from auth_info, look at the authoritative values. Make
            # sure the set is unique.
            method_names_set = set(auth_context.get('method_names', []))
            method_names = list(method_names_set)

            # Do MFA Rule Validation for the user
            if not self._mfa_rules_validator.check_auth_methods_against_rules(
                    auth_context['user_id'], method_names_set):
                raise exception.InsufficientAuthMethods(
                    user_id=auth_context['user_id'],
                    methods='[%s]' % ','.join(auth_info.get_method_names()))

            expires_at = auth_context.get('expires_at')
            token_audit_id = auth_context.get('audit_id')

            is_domain = auth_context.get('is_domain')
            (token_id, token_data) = self.token_provider_api.issue_token(
                auth_context['user_id'], method_names, expires_at, project_id,
                is_domain, domain_id, auth_context, trust, include_catalog,
                parent_audit_id=token_audit_id)//获取token

            # NOTE(wanghong): We consume a trust use only when we are using
            # trusts and have successfully issued a token.
            if trust:
                self.trust_api.consume_use(trust['id'])

            return render_token_data_response(token_id, token_data,
                                              created=True)
        except exception.TrustNotFound as e:
            LOG.warning(six.text_type(e))
            raise exception.Unauthorized(e)

2. validate_issue_token_auth

 2.1 验证body体参数的合法性、有效性。

def validate_issue_token_auth(auth=None):
    if auth is None:
        return
    validation.lazy_validate(schema.token_issue, auth)//基本的schema语法校验

    user = auth['identity'].get('password', {}).get('user')//获取body体中user信息。
    if user is not None:
        if 'id' not in user and 'name' not in user://user中'id''name'至少包含一个
            msg = _('Invalid input for field identity/password/user: '
                    'id or name must be present.')
            raise exception.SchemaValidationError(detail=msg)

        domain = user.get('domain')
        if domain is not None:
            if 'id' not in domain and 'name' not in domain:
                msg = _(
                    'Invalid input for field identity/password/user/domain: '
                    'id or name must be present.')
                raise exception.SchemaValidationError(detail=msg)

    scope = auth.get('scope')
    if scope is not None and isinstance(scope, dict):
        project = scope.get('project')
        if project is not None:
            if 'id' not in project and 'name' not in project:
                msg = _(
                    'Invalid input for field scope/project: '
                    'id or name must be present.')
                raise exception.SchemaValidationError(detail=msg)
            domain = project.get('domain')
            if domain is not None:
                if 'id' not in domain and 'name' not in domain:
                    msg = _(
                        'Invalid input for field scope/project/domain: '
                        'id or name must be present.')
                    raise exception.SchemaValidationError(detail=msg)
        domain = scope.get('domain')
        if domain is
最低0.47元/天 解锁文章
Keystone验证过程
云计算
11-27 2566
Keystone验证过程 使用nova list命令跟踪: /usr/lib/python2.6/site-packages/novaclient/shell.py 667行 其中self.cs.authenticate()主要是去keystone获取token ,具体方法如下:   /usr/lib/python2.6/site-packages/novaclient/cli
openstack keystone token创建,验证流程
cengjch2011的专栏
07-15 9318
好东西,收藏一下: 在理解keystone 授权机制之前,先明白其中的一些基本概念: User: 所谓的User代表着一些人或者能够通过keystone获取访问的something。User通过自身的证书例如username & password 或者 api keys来访问服务。Tenant:Tenant代表nova中的一个project,就是能够聚合一些服务中的一些资源。例如,
了解和使用keystone(五)获取token
愷风(Wei)的专栏
09-10 9996
创建一个json文件,作为HTTP消息的内容 $ cat token-request.json { "auth": { "identity": { "methods": [ "password" ], "password": { "us
OpenStack 学习笔记 (一)
dizhai7933的博客
07-16 301
后续的文章都贴在:臭蛋上 这一系列笔记已经记录很长一段时间了,种种原因没有贴出来,现在陆陆续续的贴出来。可能由于自己理解的 错误和疏忽,导致存在错误,欢迎大家指正,交流。 所有的源码分析都是基于OpenStack Folsom版本。 参考文档:http://hi.baidu.com/chenshake/item/184767c22c1231ba0d0a7b...
Kolla 部署OpenStack失败问题(2)
Rain_JN的博客
10-31 813
环境说明我使用的主机是在某云平台(实际就是OpenStack作为架构的一个云平台)分配的虚拟机,使用kolla部署单节点OpenStack Ocata 使用两个网卡,其中eth0:172.24.10.30 问题 安装过程报错,Invalid input for field 'identity/password/user/password': ******** is not of type 'str
openstack之:keystone 学习总结记录
magices的博客
08-23 3444
在了解 keystone 之前,我们来简单介绍下用户身份校验大概有几种方式 广义认证方式简介 广义上讲,用户身份认证并不仅限于领域。广义上的身份识别技术有如下几种:静态密码、动态密码(短信密码、动态口令牌)、令牌、USB KEY、数字证书、生物识别技术。 在以上几种认证方式中,我们IT人员在数据中心通常能够遇到的是:静态密码、动态口令牌、数字证书、令牌认证(token)。 静态密码 在四种认证方式中,最常见的就是静态密码。如果要加强动态密码的安全性,通常是通过增加密码的复杂度,设置密码过期时间的方法。大多数
Keystone几种token生成的方式分析
Miss_yang_Cloud的博客
11-04 1万+
Keystone的配置文件中,我们可见,Token的提供者目前支持四种。 Token Provider:UUID, PKI, PKIZ, or Fernet 结合源码及官方文档,我们用一个表格来阐述一下它们之间的差异。 Provider方式 生成方式|长度|加密方式 优点 缺点 UUID uuid.uuid4().hex,
openstack生成token的代码解析
05-03
# 调用Keystone API获取Token token = keystoneclient.get_token(user, password=form.cleaned_data['password']) # 存储Token request.session['token'] = token return redirect('dashboard') else: form =...
keystone详解
freedom00001的博客
10-18 2961
keystone简介 keystone是OpenStack的核心组件之一,为OpenStack大家族中的其他组件提供统一的身份认证服务,包括身份认证、令牌发放和校验服务列表、定义用户权限等。OpenStack中所有服务的授权和认证都需要经过keystone,因此keystone是OpenStack中第一个需要安装的核心组件。 keystone原理 User user指代任何使用OpenStack...
openstack详解(十七)——openstack Nova其他配置
永远是少年
06-08 1746
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Nova其他配置。 一、Nova Keystone配置 二、Nova Rabbitmq配置 三、Nova自身配置 四、Nova配置概览
(转)理解Keystone的四种Token
weixin_30603633的博客
01-11 655
Token 是什么 通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 四种 Token 的由来 D...
openstack详解(十三)——Glance Keystone设置与启动
永远是少年
06-06 1488
今天继续给大家介绍Linux运维相关知识,本文主要内容是Glance Keystone设置与启动。 一、glance-api配置 二、glance-registry配置 三、glance服务启动
keystone 认证分析
公众号
10-13 803
关于V2token的分析 1、/v2.0/token keystone.service下面的 def admin_app_factory token.routers.Router() 2、keystone.token.routers mapper.connect('/tokens', controller=token_cont
Openstack安装过程中出现的一些问题及解决
weixin_43467082的博客
02-13 2万+
Openstack安装过程中出现的一些问题及解决 摘要: 一、Centos7安装Mitika问题 1.问题:在keystone安装阶段请求认证令牌出现错误 1 2 3 4 5 6 7 8 9 10 11 12 # vim admin-openrc export OS_PROJECT_DOMAIN_NAME=default expor… 一、Centos7安装Mitika问题 1.问题:在keyst...
12C ORA-错误汇总19
热门推荐
badman250的专栏
03-02 4万+
KUP-00552: internal XAD package failed to load Cause: An error was encountered while attempting to initialize the XAD package. Action: This message should be accompanied by other error message(s) in
keystone的dependency模块源码解析看依赖注入技术
L__xing的博客
12-01 437
keystone中可以经常看到controllers.py文件下有如下装饰器的使用: @dependency.requires(‘name’) @dependency.requires('assignment_api', 'catalog_api', 'identity_api', 'resource_api', 'token_provider_api', 'trust_api') class Auth(controller.V3Controller):
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值