Quantum的权限认证(2)

最新推荐文章于 2023-04-23 15:39:00 发布
最新推荐文章于 2023-04-23 15:39:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: OpenStack OpenStack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spch2008/article/details/9698667
版权

本文地址:http://blog.csdn.net/spch2008/article/details/9698667

当用户在命令行中输入 quantum port-show  时,最终将会转到 quantum\api\v2\base.py的Controller中的show方法。

def show(self, request, id, **kwargs):

    return {self._resource:
            self._view(self._item(request,
                                  id,
                                  do_authz=True,
                                  field_list=field_list,
                                  parent_id=parent_id),
                       fields_to_strip=added_fields)}

	
	
def _item(self, request, id, do_authz=False, field_list=None,
          parent_id=None):
    
    action = self._plugin_handlers[self.SHOW]
   
    obj_getter = getattr(self._plugin, action)
    obj = obj_getter(request.context, id, **kwargs)
   
    if do_authz:
        policy.enforce(request.context, action, obj, plugin=self._plugin)
    return obj
而在show中,会跳转到_item方法中,该方法调用policy.enforce进行权限认证。

quantum\policy.py中

def enforce(context, action, target, plugin=None):
    
    init()
    real_target = _build_target(action, target, plugin, context)
    match_rule = _build_match_rule(action, real_target)
    credentials = context.to_dict()
    
    return policy.check(match_rule, real_target, credentials,
                        exceptions.PolicyNotAuthorized, action=action)

在这里,假设用户输入的是quantum port-show命令,则action为get_port,  context为

上一篇所述的Context对象.而target为一个用户查询的结果,是一个字典,内容格式如下:

def _make_port_dict(self, port, fields=None):
    res = {"id": port["id"],
           'name': port['name'],
           "network_id": port["network_id"],
           'tenant_id': port['tenant_id'],
           "mac_address": port["mac_address"],
           "admin_state_up": port["admin_state_up"],
           "status": port["status"],
           "fixed_ips": [{'subnet_id': ip["subnet_id"],
                          'ip_address': ip["ip_address"]}
                         for ip in port["fixed_ips"]],
           "device_id": port["device_id"],
           "device_owner": port["device_owner"]}
    return self._fields(res, fields)

/etc/quantum/policy.json内容,只列出get_port涉及到的内容。

"admin_or_owner": [["role:admin"], ["tenant_id:%(tenant_id)s"]],
"get_port": [["rule:admin_or_owner"]],

init进行初始化操作,从policy.json文件中读取权限信息,交给_set_rules处理。 
def _set_rules(data):
    default_rule = 'default'
    policy.set_rules(policy.Rules.load_json(data, default_rule))
set_rules设置全局变量_rules,变量指向一个Rules对象,存放所有加载的规则。Rules继承于dict,即Rules本身具有字典功能。

内容为:

 { 'get_port' : RuleCheck('rule', 'admin_or_owner'), 'admin_or_owner' : OrCheck([RoleCheck('role', 'admin'),GenericCheck('tenant_id','%(network_tenant_id)s')])}

具体加载过程在下一篇中介绍。

def _build_match_rule(action, target):
   
    match_rule = policy.RuleCheck('rule', action)
	return match_rule
返回一个RuleCheck对象,self.kind = 'rule', self.match = action = 'get_port'。

credentials = context.to_dict()调用to_dict得到一个字典,包含验证所需要的用户信息。

def check(rule, target, creds, exc=None, *args, **kwargs):

    if isinstance(rule, BaseCheck):
        result = rule(target, creds)
		
	return result
验证过程,调用match_rule(RuleCheck对象)的call方法。 

@register("rule")
class RuleCheck(Check):
    def __call__(self, target, creds):
        """
        Recursively checks credentials based on the defined rules.
        """

        return _rules[self.match](target, creds)
是一个递归调用的过程,由上可知,self.match值为'get_port',_rules['get_port']值为RuleCheck('rule', 'admin_or_owner'),继续调用

__call__方法。此时self.match值为‘admin_or_owner’,_rules['admin_or_owner']值为OrCheck([RoleCheck('role', 'admin'),GenericCheck('tenant_id','%(network_tenant_id)s')])

调用OrCheck的call方法:

def __call__(self, target, cred):

    for rule in self.rules:
        if rule(target, cred):
            return True

    return False
只要有一个规则符合条件,即返回真。先转向RoleCheck的call方法。 
@register("role")
class RoleCheck(Check):
    def __call__(self, target, creds):
        """Check that there is a matching role in the cred dict."""

        return self.match.lower() in [x.lower() for x in creds['roles']]
self.match为admin, 检测creds用户的角色是否有admin,如果有,返回真,否则,验证失败。

如果验证失败,则进行GenericCheck验证。如果二者都验证失败,则说明用户没有进行此操作的权限。


其实思路很简单:对于一个action(get_port)对应一个RuleCheck对象,由该对象转向相应规则。

RuleCheck('rule', 'get_port')  在第一个递归调用时候,找到_rules = {'get_port': RuleCheck('rule', 'admin_or_owner'},这样,get_port找到对应的RuleCheck。

再进行一次递归调用,转向OrCheck('[RoleCheck('role', 'admin'),GenericCheck('tenant_id','%(network_tenant_id)s')]))



spch2008
关注
专栏目录
AirPlay Video Certification-AirPlay视频认证
天天的博客
06-08 920
本文档描述了在提交之前必须成功完成的测试用例自我认证
Quantum权限认证(1)
spch2008的专栏
08-01 1491
在身份认证结束后,会进行权限认证,即验证用户是否有做此操作的权限。实际上,这一步将身份认证提供的信息 进行一些包装,在后续具体操作(例如get_port等)的过程中进行验证。 api-paste.ini中 [composite:quantumapi_v2_0] use = call:quantum.auth:pipeline_factory noauth = extensions q
Win10系统病毒隔离文件在哪里?详细位置介绍
最新发布
lihuiyun184291的博客
04-23 8839
Win10系统病毒隔离文件在哪里?使用电脑的时候,我们需要使用的文件可能会被程序误报导致无法使用。这个时候就要到系统病毒隔离文件夹里面来进行恢复了。那么这个文件夹怎么打开呢?以下带来详细的开启方法。
quantum 配置
spch2008的专栏
07-20 2043
最近一直跟quantum打交道,对于它的配置文档,当然也需要理清。之前了解过了相关paste的使用方法,见Paste 起步 [composite:quantum] use = egg:Paste#urlmap /: quantumversions /v2.0: quantumapi_v2_0 [composite:quantumapi_v2_0] use = call:quantum.au
openstack policy 鉴权过程分析
wenwenxiong的专栏
05-30 1661
openstack 鉴权简单介绍 众所周知,openstack通过keystone用来完成authenticate(认证),真正的鉴权(authorize)是在各个模块分别做的,具体实现为每个模块都有一个policy文件,叫policy.json,里面定义了鉴权用的rules。 以nova为例,policy文件的位置在:/etc/nova/policy.json,下面先来看几条rules,了解其
如何获取Azure AD tenant的tenant Id?
Jeffrey Zhou 的专栏
01-11 7757
一般情况下,Azure AD用户知道自己tenant域名(例如:contoso.onMicrosoft.com),那么如何由tenant域名得到用户的tenant id呢?这是在实际工作中经常遇到的问题,特别是在调用API和提供帮助服务,往往都需要提供tenant id。
Quantum权限认证(3)
spch2008的专栏
08-01 1120
这里主要说一下,权限信息的加载过程。 quantum\openstack\common\policy.py中 全局变量_checks = {}是一个字典,存放各种权限验证类。比如; {'rule':RuleCheck, 'role':RoleCheck},由于使用了装饰器,所以,此模块被加载时,_checks就被初始化了,具体可参见带参数的装饰器。 def register(name, f
Quantum 资源属性映射
spch2008的专栏
08-02 1445
先前做QoS功能时,对于RESOURCE_ATTRIBUTE_MAP了解甚少,都是靠模仿者来做的。 本文针对quantum\api\v2\attributs.py中的port做相应的解释,为求简便,省略了部分属性。 'ports': { 'id': {'allow_post': False, 'allow_put': False, 'validate': {'ty
openstack quantum安装文档
04-23
- 详细解释了 Quantum 如何与 Keystone 配合工作来处理用户的身份认证权限验证。 - 包括了如何在 Quantum 中设置和使用角色、策略等安全机制。 **8. 高级操作特性** - **Logging Settings** - 介绍了如何配置...
rest-interface.rar_quantum computing_rest_rest interface
09-22
5. **认证和授权(Authentication and Authorization)**: 为了确保安全,REST接口通常会包含身份验证和权限控制机制,比如OAuth2,以限制对量子计算资源的访问。 **REST接口的优势** - **简单易用**: REST接口...
Laravel开发-quantum
08-28
总之,"Laravel开发-quantum"项目是一个以Laravel框架为基础,结合RESTful API和RBAC设计的权限管理系统。它展示了如何利用Laravel的强大功能构建安全、高效的Web服务。对于希望学习Laravel或提升API开发技能的...
keystone 身份验证流程(2)
spch2008的专栏
07-19 8565
QuantumClient端的身份验证 第一部分: QuantumClent\shell.py中,有一个参数解析器。 def build_option_parser(self, description, version): # Global arguments parser.add_argument( '--os-
openstack 删除僵尸实例 删除实例 删除instance(非屏蔽外键)
spch2008的专栏
09-06 8123
之前看过一篇文章,用的是“暂时关闭外键检查”的方法删除数据库中得instance实例。我个人认为这样及其糟糕,会残留数据。 我的办法:逐一删除。 步骤一 1.回收floating ip     nova remove-floating-ip vm1 10.108.108.2 2.放入地址池     nova floating-ip-delete 10.108.1
openstack VNC noVNC(多网卡)
spch2008的专栏
11-16 7250
本文地址:http://blog.csdn.net/spch2008/article/details/8190863   对openstack的vnc配置一直比较模糊,所以决定下决心研究一番。 上图为官方文档中多节点,多网卡网络配置图。我的理解:99.99.99.0为公网地址,192.168.0.0为管理地址,10.0.0.0为虚拟机地址。假设上图nova-netwo
keystone 身份验证流程(1)
spch2008的专栏
07-19 6997
之前在网上看到一张keystone工作流程图,如下:     credentials实际就是用户名,密码种类的东西。通过用户名与密码向keystone进行注册,取得一个token。   curl -d '{"auth": {"tenantName": "$YOUR_TENANT_NAME", "passwordCredentials":{"username": "$YOUR_USER_N
keystone 身份验证流程(3)
spch2008的专栏
07-19 6475
quantum端采用的身份验证。 /etc/quantum/api-paste.ini中 [filter:authtoken] paste.filter_factory = keystone.middleware.auth_token:filter_factory auth_host = 172.16.4.1 auth_port = 35357 auth_protocol = http adm
OpenStack Quantum 网络架构图
spch2008的专栏
06-02 5835
本文地址:http://blog.csdn.net/spch2008/article/details/9008327 OpenStack F版,Quantum架构图,有些地方可能不是很准确。      1. 每创建一个虚拟机,都会创建一个前缀为qbr的网桥,然后网桥在与br-int相连。          有些疑问:为什么要通过一个网桥与br-int相连,而不是直接将vnet连到
OpenStack 单网卡 配置
spch2008的专栏
08-14 5644
本文地址:http://blog.csdn.net/spch2008/article/details/7862950 系统 1.下载Ubuntu server http://releases.ubuntu.com/12.04/ubuntu-12.04-server-amd64.iso 2.分配一个lvm格式的分区 3.最小化安装,只安装sshserver(按空
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值