openstack认证实践
环境: 客户端:负责发送请求, 服务器:负责接受请求; 认证服务器keystone:负责认证
具体认证步骤:
1、客户端首先进行签名计算,将得到的签名字符串作为authorization发给keystone。利用secretkey计算签名,签名中包括:accesskey,时间戳,主机IP、端口,要找keystone进行校验的请求API,由于需要注意,keystone要求时间戳为UTC格式,所以需要转换为UTC,否则导致最后keystone验签失败,返回400 Bad Request,相关代码如下:
utc_time = datetime.datetime.utcnow().strftime('%Y-%m-%dT%H:%M:%SZ') host = "10.0.0.3:8787" # IP为客户端要访问的服务器的IP authorization = {'version': 'auth-v1', 'access': accesskey, 'timestamp': utc_time, 'period': '10800', 'signedheaders': '', 'signature': 'SIGNATURE_SPACE_HOLDER'} request = { 'method': 'POST', 'uri': '/data/add', 'params': { }, 'headers': { 'x-date': utc_time, 'Host': host, } }
之后,用户将计算好的签名插入到API请求头部,访问服务器,计算好的签名示例如下:
x-date:2017-05-31T05:06:30Z
Authorization:auth-v1/2d6e969a81384d03848708bbb4fb0bca/2017-05-31T05:06:30Z/1800/host;x-date/128709e9cd3b3ef751cff70028851641cca8ef3262f6e9d06514ac243b839a54
Content-Type:application/json
2、服务器收到客户端请求后,首先到keystone申请token,原因是keystone要求服务携带一个表征服务身份的token,放在X-Auth-Token请求头中,token有效期一般为半小时,发送的请求为(具体的参数是keystone要求的,必须严格一致,否则导致token不对)
params = json.dumps({ "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "id": "default" }, "name": username, "password": password } } }, "scope": { "domain": { "id": "default" } } }, })
请求响应中x-token就是需要的token
最后,服务器将客户的authorization,申请到的token,以及请求的信息Method(GET), Uri(/data/add); host(服务器IP)提交到keystone来进行验签
3、keystone基于请求信息进行签名的验算,向服务返回验签过通与否,如果验证通过,服务器执行用户请求的操作