四、vault - 令牌验证 Token Authentication

最新推荐文章于 2024-01-04 22:39:45 发布
最新推荐文章于 2024-01-04 22:39:45 发布
阅读量2.6k 收藏
点赞数
分类专栏: vault 文章标签: vault
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zrk1000/article/details/72670123
版权

令牌验证后端 ( token backend)是内置的,是客户端认证的核心;。其他身份验证后端也可以对客户端进行身份验证, 但他们的客户端令牌(token )最终由令牌后端(token backend)管理。

每一个令牌都有以下属性:

1、ID :令牌的主ID,是一个随机生成的UUID
2、显示名称:可选项,适合人类阅读的名称
3、元数据:元数据用于审计日志记录
4、使用次数:可选项,限制使用次数
5、父ID:可选项,创建这个子令牌的父令牌
6、策略:一个与其关联的ACL列表的策略
7、源路径:路生成令牌的路径(例如. auth/github/login)

令牌创建后,它的属性是不可变的。“使用次数”是个例外,这属性会根据每次请求进行递减。这些特性使vault能做许多事情。

每个令牌维护着源路径,或者登录路径,这些信息在创建令牌是就已提供。这是用于允许基于源信息来撤销令牌。例如,如果我们确信GitHub组织被破坏,我们可能想要撤销所有通过auth/github/login 生成的令牌。可以使用sys/revoke-prefix/的API auth/github/ 前缀。撤销这个前缀将撤销所有在这个路径的客户端令牌,以及所有这些令牌动态生成的密码。在系统受到威胁时,这提供了一个“破窗而出”的方式。

如果一个令牌是由另一个身份验证后端创建,他将没有父级令牌。然而,任何一个通过auth/token/create API创建的令牌都有一个父令牌,即这次请求使用的令牌。通过保持这种亲子关系,形成vault令牌模型树。子令牌可以创建父令牌策略的子集策略,并且允许删除这个权限。撤销一个令牌时,令牌的整个子树将被撤销。这允许客户端安全地生成子令牌,安全的撤销他们的根令牌。

子令牌非常有用,特别是结合“限次令牌”。创建令牌时,它的使用计数可以选择性地指定。当使用计数为“1”时即为一次性令牌(one time token)。这意味着该令牌在单次请求后被自动销毁。这个用途可以推广到任意数量的次数上。”限次令牌”不能用于创建子令牌,但也为有限次访问vault服务提供了一种极为强大支持。

zrk1000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
key-vault-dotnet-authentication:.NET Key Vault身份验证示例
05-09
服务 平台 作者 密钥库 网络 路西塔尼亚人 使用Azure .NET SDK的Azure Key Vault的身份验证示例 此示例存储库演示了如何连接和验证Azure Key Vault保管库。 为此,它首先使用Key Vault Management Client创建一个保管库。 然后,Key Vault客户端将用于对Vault进行身份验证并设置/获取示例机密。 如何运行此示例 如果您还没有它,请获取并安装 克隆仓库。 git clone https://github.com/Azure-Samples/key-vault-dotnet-authentication.git key-vault cd key-vault 使用以下之一创建Azure服务主体: , 。 该服务主体将在您的Azure帐户上运行示例。 使用您创建的服务主体中的信息来设置以下环境变量。 export
spring cloud vault配置
chengwei6112的博客
08-17 452
spring cloud vault配置 spring cloud vault配置 简介 1 vault服务端配置及启动 1.1 consul启动 1.2 vault启动 1.2.1 创建配置...
token登录的实现
Go_ahead_forever的博客
09-21 1359
使用令牌Token)进行身份验证和授权是一种常见的方式,特别适用于分布式和跨域请求的应用程序。1. 为什么要使用 Token:2. Token 使用逻辑: 定义一个获取用户信息的其他接口 创建拦截器: 注册拦截器: 使用结果截图 结果返回了一个token,这个token前端拿到以后要保存到sessionStorage或者LocalStorage里面,再把这个token送到请求头中,就可以啦设置请求头设置Authorization 然后发起就可以得到啦 如果没有authorization就是得到未登
《转发》python如何生成一个带有时效性的token
weixin_47554649的博客
07-21 316
原文链接:https://www.ivdone.cn/article/145.html
Vault实战(三)-Vault命令详解
最新发布
sre救赎之路
01-04 494
auth命令有一组子命令于和 Vault 的身份验证方法进行交互。用户可以列出、启用、禁用身份验证方法,或是获取相关身份验证方法的帮助信息。要以用户或计算机身份向 Vault 进行身份验证,请改用命令。此命令用于与身份验证方法本身进行交互,而不是向 Vault 进行身份验证
spring-boot-vault-demo:演示项目,展示spring-boot和Hashicorp Vault的集成
02-05
Spring Boot Vault演示 入门 创建一个空的bootstrap.yml : touch bootstrap.yml 运行gradle构建所有必需的文件: ./gradlew build 设置保管库 启动保管库容器: docker-compose up --build vault 初始化保管箱: docker-compose --no-ansi exec -e VAULT_CLI_NO_COLOR=1 -e VAULT_CACERT=/vault/config/ssl/vault.crt.pem vault \ vault operator init -key-shar
SpringCloud搭建微服务之Vault密钥管理
liu320yj的博客
01-31 1975
Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码、证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据
后端对token令牌的篡改和过期的验证原理
yuan_cc025的博客
01-11 695
后端拿到前端发的token之后,会根据后端存的salt对第一部分和第二部分再次加密 得出来的内容与前端发的token的第三部分作对比,只要你的盐不泄露,如果token里面的任何部分被村篡改,第三部分的验证都不会成功 对于时间,当前面的合法性验证通过后,后端会根据设置好的加密算法,比如base64解析token,拿到时间戳,然后与当前时间对比,看是否过期 ...
Spring Cloud之Vault实践踩坑记录
BXA
06-27 742
Vault 是 HashiCorp 公司开发的一个开源项目,用于管理机密信息,例如 API 密钥、密码、证书等。它提供了一种集中式的管理方式来保护敏感的数据,同时也提供了访问控制和加密服务等。使用 Vault 能够更安全地管理敏感信息,并且可以从应用程序代码中抽象出来,从而简化管理和减少泄露风险。
Spring系列学习之Spring Vault
纸上得来终觉浅,绝知此事要躬行
12-22 6664
英文原文:https://spring.io/projects/spring-vault 目录 概述 快速开始 学习 文档 示例 概述 Spring Vault提供熟悉的Spring抽象和客户端支持,用于访问,存储和撤销机密。 它提供了与Vault交互的低级和高级抽象,使用户免于基础设施问题。 通过HashiCorp的Vault,您可以在所有环境中为应用程序管理外部机密数据。 Va...
Spring Vault API(Spring Vault 开发文档).CHM
08-31
Spring Vault。 官网 Spring Vault API。 Spring Vault 开发文档。
spring-vault:为HashiCorp Vault提供熟悉的Spring抽象
02-04
spring-vault:为HashiCorp Vault提供熟悉的Spring抽象
key-vault-node-authentication:用于对密钥库进行身份验证的Node.js示例
05-24
然后,Key Vault客户端将用于对Vault进行身份验证并设置/获取示例机密。 先决条件 如果您没有Azure订阅,请在开始之前创建一个。 此外,您还需要 请安装Node JS。 可以在Windows,Mac和Linux上运行。 请从下载git...
vault-token-helper:适用于macOS,Linux和Windows的@Hashicorp Vault令牌帮助器,支持安全令牌存储和多个Vault服务器:locked_with_key:
05-15
保管库令牌帮助器 @hashicorp Vault,支持在macOS,Linux和... 这将创建~/.vault配置文件: vault-token-helper enable向Vault实例进行身份验证以在本地加密和存储新令牌,例如使用Okta auth后端: export VAULT_AD
vault-ldap-auth:将HashiCorp Vault配置为使用LDAP进行身份验证的示例
05-09
保管库-ldap-auth 将HashiCorp Vault配置为使用LDAP进行身份验证的示例入门部署infrastructure/cloudformation.json模板。 该模板使用以下凭据和最少的权限创建用户,以完成实验室: 用户名: student 密码:密码...
vault-kubernetes-authenticator:通过Kubernetes身份验证方法对@HashiCorp Vault的服务进行身份验证的应用程序和容器
02-03
vault-kubernetes-authenticator是一个小型应用程序/容器,它执行 ,并将Vault令牌放置在众所周知的可配置位置。 它最常用作初始化容器,以向不了解Vault的应用程序或服务提供Vault令牌。 组态 VAULT_ADDR -Vault...
一、vault - 安装及启动
zrk1000的专栏
05-23 8547
简介:HashiCorp Vault是一个私密信息管理工具(A tool for managing secrets),提供键值的方式保存私密信息。 私密信息:如数据库用户名密码、ssl证书、用户敏感信息等
二、vault - vault的架构
zrk1000的专栏
05-23 6549
前面对vault的使用做了简单使用,有了具体化的认识,下面对vault进行详细的说明。vault架构:
七、vault - 密封/j解封 Seal/Unseal
zrk1000的专栏
05-24 3565
Seal/Unseal 当vault服务启动时,它开始是密封(sealed)的状态。在这种状态下,vault被配置为知道如何访问物理存储,但不知道如何解密。解封(Unsealing )是构建master key,用以获取解密密钥来解密数据、访问vault的过程。
openmediavault-docker-gui
09-03
openmediavault-docker-gui是一个基于OpenMediaVault和Docker的图形用户界面工具。OpenMediaVault是一个开源的网络附件存储(NAS)解决方案,通过提供基于Web的管理界面来简化存储设备的设置和管理。而Docker是一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值