首页 > 代码库 > openstack认证实践

openstack认证实践

环境: 客户端:负责发送请求, 服务器:负责接受请求; 认证服务器keystone:负责认证

具体认证步骤:

1、客户端首先进行签名计算,将得到的签名字符串作为authorization发给keystone。利用secretkey计算签名,签名中包括:accesskey,时间戳,主机IP、端口,要找keystone进行校验的请求API,由于需要注意,keystone要求时间戳为UTC格式,所以需要转换为UTC,否则导致最后keystone验签失败,返回400 Bad Request,相关代码如下:

    utc_time = datetime.datetime.utcnow().strftime(‘%Y-%m-%dT%H:%M:%SZ‘)
    host = "10.0.0.3:8787"  # IP为客户端要访问的服务器的IP
    authorization = {‘version‘: ‘auth-v1‘,
                     ‘access‘: accesskey,
                     ‘timestamp‘: utc_time,
                     ‘period‘: ‘10800‘,
                     ‘signedheaders‘: ‘‘,
                     ‘signature‘: ‘SIGNATURE_SPACE_HOLDER‘}
    request = {
            ‘method‘: ‘POST‘,
            ‘uri‘: ‘/data/add‘,
            ‘params‘: {
                },
            ‘headers‘: {
                ‘x-date‘: utc_time,
                ‘Host‘: host,
                }
            }

之后,用户将计算好的签名插入到API请求头部,访问服务器,计算好的签名示例如下:

x-date:2017-05-31T05:06:30Z
Authorization:auth-v1/2d6e969a81384d03848708bbb4fb0bca/2017-05-31T05:06:30Z/1800/host;x-date/128709e9cd3b3ef751cff70028851641cca8ef3262f6e9d06514ac243b839a54
Content-Type:application/json

 2、服务器收到客户端请求后,首先到keystone申请token,原因是keystone要求服务携带一个表征服务身份的token,放在X-Auth-Token请求头中,token有效期一般为半小时,发送的请求为(具体的参数是keystone要求的,必须严格一致,否则导致token不对)

 params = json.dumps({
          "auth": {
              "identity": {
                  "methods": [
                      "password"
                  ],
                  "password": {
                      "user": {
                          "domain": {
                              "id": "default"
                          },
                          "name": username,
                          "password": password
                      }
                  }
              },
          "scope": {
             "domain": {
                 "id": "default"
             }
         }
         },
     })

 

请求响应中x-token就是需要的token

最后,服务器将客户的authorization,申请到的token,以及请求的信息Method(GET), Uri(/data/add); host(服务器IP)提交到keystone来进行验签

3、keystone基于请求信息进行签名的验算,向服务返回验签过通与否,如果验证通过,服务器执行用户请求的操作

openstack认证实践