OpenStack Keystone 源码解析

最新推荐文章于 2024-05-16 20:50:19 发布
最新推荐文章于 2024-05-16 20:50:19 发布
阅读量1.9k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/likerxu/article/details/53013134
版权 
# Licensed under the Apache License, Version 2.0 (the "License"); you may
# not use this file except in compliance with the License. You may obtain
# a copy of the License at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS, WITHOUT
# WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the
# License for the specific language governing permissions and limitations
# under the License.

import os

from keystone.common import dependency
from keystone.common import utils as ks_utils
import keystone.conf
from keystone.federation import constants as federation_constants
from keystone.i18n import _
from keystone.token.providers import common
from keystone.token.providers.fernet import token_formatters as tf

""" 引入keystone配置 """
CONF = keystone.conf.CONF

""" 定义依赖API需求trust-oauth-identity三方API """

@dependency.requires('trust_api', 'oauth_api', 'identity_api')
class Provider(common.BaseProvider):
    __init__()

    """ 方法意义重大的原因有两个。第一个原因是在对象生命周期中初始化是最重要的一步; 每个对象必须正确初始化后才能正常工作。第二个原因是__init__() 参数值可以有多种形式。 """

    def __init__(self, *args, **kwargs):
        super(Provider, self).__init__(*args, **kwargs)

        # NOTE(lbragstad): We add these checks here because if the fernet
        # provider is going to be used and either the `key_repository` is empty
        # or doesn't exist we should fail, hard. It doesn't make sense to start
        # keystone and just 500 because we can't do anything with an empty or
        # non-existant key repository.
        if not os.path.exists(CONF.fernet_tokens.key_repository):
            # 配置中fernet_tokens.key_repository用来提供加密的密钥生成库
            subs = {'key_repo': CONF.fernet_tokens.key_repository}
            raise SystemExit(_('%(key_repo)s does not exist') % subs)
        if not os.listdir(CONF.fernet_tokens.key_repository):
            subs = {'key_repo': CONF.fernet_tokens.key_repository}
            # 配置中fernet_tokens.key_repository没有生成初始密钥
            raise SystemExit(_('%(key_repo)s does not contain keys, use '
                               'keystone-manage fernet_setup to create '
                               'Fernet keys.') % subs)

        self.token_formatter = tf.TokenFormatter()

    """ 返回是否需要持久化,使用fernet生成token不需要实例化 """

    def needs_persistence(self):
        """Should the token be written to a backend."""
        """ 使用Fernet加密信息作为token不需要实例化,所以返回fasle """
        return False

    """ v2接口调用拿到生成后的token进行id标记 """

    def issue_v2_token(self, *args, **kwargs):
        token_id, token_data = super(Provider, self).issue_v2_token(
            *args, **kwargs)
        self._build_issued_at_info(token_id, token_data)
        return token_id, token_data

    """ v3接口调用拿到生成后的token进行id标记 """

    def issue_v3_token(self, *args, **kwargs):
        token_id, token_data = super(Provider, self).issue_v3_token(
            *args, **kwargs)
        self._build_issued_at_info(token_id, token_data)
        return token_id, token_data

    """ 为token添加issue_at时间戳 """

    def _build_issued_at_info(self, token_id, token_data):
        # NOTE(roxanaghe, lbragstad): We must use the creation time that
        # Fernet builds into it's token. The Fernet spec details that the
        # token creation time is built into the token, outside of the payload
        # provided by Keystone. This is the reason why we don't pass the
        # issued_at time in the payload. This also means that we shouldn't
        # return a token reference with a creation time that we created
        # when Fernet uses a different creation time. We should use the
        # creation time provided by Fernet because it's the creation time
        # that we have to rely on when we validate the token.
        fernet_creation_datetime_obj = self.token_formatter.creation_time(
            token_id)
        if token_data.get('access'):
            token_data['access']['token']['issued_at'] = ks_utils.isotime(
                at=fernet_creation_datetime_obj, subsecond=True)
        else:
            token_data['token']['issued_at'] = ks_utils.isotime(
                at=fernet_creation_datetime_obj, subsecond=True)

    """ 根据federation_constants配置添加identity_provider与protocol信息 """

    def _build_federated_info(self, token_data):
        """Extract everything needed for federated tokens.

        This dictionary is passed to federated token formatters, which unpack
        the values and build federated Fernet tokens.

        """
        token_data = token_data['token']
        try:
            user = token_data['user']
            federation = user[federation_constants.FEDERATION]
            idp_id = federation['identity_provider']['id']
            protocol_id = federation['protocol']['id']
        except KeyError:
            # The token data doesn't have federated info, so we aren't dealing
            # with a federated token and no federated info to build.
            return

        group_ids = federation.get('groups')

        return {'group_ids': group_ids,
                'idp_id': idp_id,
                'protocol_id': protocol_id}

    """ 在token信息传入V3TokenDataHelper之前进一步格式化 """
    def _rebuild_federated_info(self, federated_dict, user_id):
        """ Format federated information into the token reference.
        The federated_dict is passed back from the federated token formatters.
        The responsibility of this method is to format the information passed
        back from the token formatter into the token reference before
        constructing the token data from the V3TokenDataHelper.

        """
        g_ids = federated_dict['group_ids']
        idp_id = federated_dict['idp_id']
        protocol_id = federated_dict['protocol_id']

        federated_info = {
            'groups': g_ids,
            'identity_provider': {'id': idp_id},
            'protocol': {'id': protocol_id}
        }

        user_dict = self.identity_api.get_user(user_id)
        user_name = user_dict['name']

        token_dict = {
            'user': {
                federation_constants.FEDERATION: federated_info,
                'id': user_id,
                'name': user_name,
                'domain': {'id': CONF.federation.federated_domain_name,
                           'name': CONF.federation.federated_domain_name, },
            }
        }

        return token_dict

    """ 如果联邦认证使用的IDP没有提供角色信息,这里进行额外的角色信息补充"""
    def _rebuild_federated_token_roles(self, token_dict, federated_dict,
                                       user_id, project_id, domain_id):
        """Populate roles based on (groups, project/domain) pair.

        We must populate roles from (groups, project/domain) as ephemeral users
        don't exist in the backend. Upon success, a ``roles`` key will be added
        to ``token_dict``.

        :param token_dict: dictionary with data used for building token
        :param federated_dict: federated information such as identity provider
            protocol and set of group IDs
        :param user_id: user ID
        :param project_id: project ID the token is being scoped to
        :param domain_id: domain ID the token is being scoped to

        """
        group_ids = [x['id'] for x in federated_dict['group_ids']]
        self.v3_token_data_helper.populate_roles_for_federated_user(
            token_dict, group_ids, project_id, domain_id, user_id)

    """ 为v2接口生成额外的token的信息   """

    def _extract_v2_token_data(self, token_data):
        user_id = token_data['access']['user']['id']
        expires_at = token_data['access']['token']['expires']
        audit_ids = token_data['access']['token'].get('audit_ids')
        methods = ['password']
        if len(audit_ids) > 1:
            methods.append('token')
        project_id = token_data['access']['token'].get('tenant', {}).get('id')
        domain_id = None
        trust_id = token_data['access'].get('trust', {}).get('id')
        access_token_id = None
        federated_info = None
        return (user_id, expires_at, audit_ids, methods, domain_id, project_id,
                trust_id, access_token_id, federated_info)

    """ 为v3接口生成额外的token的信息 """

    def _extract_v3_token_data(self, token_data):
        """Extract information from a v3 token reference."""
        user_id = token_data['token']['user']['id']
        expires_at = token_data['token']['expires_at']
        audit_ids = token_data['token']['audit_ids']
        methods = token_data['token'].get('methods')
        domain_id = token_data['token'].get('domain', {}).get('id')
        project_id = token_data['token'].get('project', {}).get('id')
        trust_id = token_data['token'].get('OS-TRUST:trust', {}).get('id')
        access_token_id = token_data['token'].get('OS-OAUTH1', {}).get(
            'access_token_id')
        federated_info = self._build_federated_info(token_data)

        return (user_id, expires_at, audit_ids, methods, domain_id, project_id,
                trust_id, access_token_id, federated_info)

    """ 生成token_data的tokenID """

    def _get_token_id(self, token_data):
        """Generate the token_id based upon the data in token_data.

        :param token_data: token information
        :type token_data: dict
        :rtype: six.text_type

        """
        # NOTE(lbragstad): Only v2.0 token responses include an 'access'
        # attribute.
        # 只有v2接口调用返回字段中才有access字段
        if token_data.get('access'):
            (user_id, expires_at, audit_ids, methods, domain_id, project_id,
             trust_id, access_token_id, federated_info) = (
                self._extract_v2_token_data(token_data))
        # 针对v3接口调用返回字段中没有access字段
        else:
            (user_id, expires_at, audit_ids, methods, domain_id, project_id,
             trust_id, access_token_id, federated_info) = (
                # 返回token信息的额外字段
                self._extract_v3_token_data(token_data))

        # 使用token_formatter格式化返回信息
        return self.token_formatter.create_token(
            user_id,
            expires_at,
            audit_ids,
            methods=methods,
            domain_id=domain_id,
            project_id=project_id,
            trust_id=trust_id,
            federated_info=federated_info,
            access_token_id=access_token_id
        )

    """ 装饰器(decorator)可以给函数动态加上功能,对于类的方法,装饰器一样起作用。Python内置的 @ property装饰器就是负责把一个方法变成属性调用的"""

    @property
    def _supports_bind_authentication(self):
        """Return if the token provider supports bind authentication methods.

         :returns: False

         """
        return False

liker12134
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深挖Openstack keystone - 源码分析(1)
熊孩子会撒野
07-17 1292
一.  Policy策略 Policy机制就是用来控制某一个User在某个Tenant中某个操作的权限。对于Keystone服务来说,policy就是一个json文件,默认是/etc/keystone/policy.json。 {     "admin_required": "role:admin",     "cloud_admin": "rule:admin_required and d...
OpenStackkeystone组件源码流程
zhxym的博客
08-18 1685
OpenStackkeystone组件源码流程
keystone系列五:keystone源码分析
weixin_34268753的博客
01-09 975
keystone架构   6.1 Keystone API  Keystone API与Openstack其他服务的API类似,也是基于ReSTFul HTTP实现的。 Keystone API划分为Admin API和Public API: Public API不仅实现获取版本以及相应扩展信息的操作,同时包括获取Token以及Token租户信息的操作; Admin API主要...
2024年最新Openstack架构构建及详解(2)--keystone组件(1),netty源码剖析与实战笔记
2401_84103327的博客
05-09 295
在面试前我整理归纳了一些面试学习资料,文中结合我的朋友同学面试美团滴滴这类大厂的资料及案例由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!大家看完有什么不懂的可以在下方留言讨论也可以关注。本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取试学习资料,文中结合我的朋友同学面试美团滴滴这类大厂的资料及案例。
【限免】3种Keystone变换算法(DFT+IFFT算法、Chirp-Z变换法、sinc函数内插法)【附MATLAB代码】
最新发布
m0_54016576的博客
05-16 712
【限免】3种Keystone变换算法(DFT+IFFT算法、Chirp-Z变换法、sinc函数内插法)【附MATLAB代码】
OpenStack源码分析【2021-11-07】
benzenene的博客
11-07 359
2021SC@SDUSC
keystone源代码分析
hail100的专栏
02-16 3243
keystone源代码分析 使用git下载openstack项目keystone源代码 git clone http://github.com/openstack/keystone.git keystone一般启动命令python /opt/stack/keystone/bin/keystone-all --config-file /etc/keystone/keystone.conf --d
OpenstackKeystone组件解析
yuiLan0的博客
12-14 702
文章目录KeyStone认证服务前言idntitiy server功能身份认证服务流程keystone工作流程图 KeyStone认证服务 前言 keystone为所有openstack组件提供认证和访问策略访问,它依赖自身REST(基于idntity API)系统进行工作,主要对(但不限于)Swift(对象存储)、Glance(镜像服务)、Nova(计算服务)等进行认证与授权。实际上,授权通过对动作消息来源者请求的合法性进行鉴定。 idntitiy server功能 1、身份认证 :令牌的发访和校验 2、
openstack部分源码
03-01
这个压缩包包含了 OpenStack 的一部分客户端代码,让我们逐一解析每个客户端的主要功能和知识点。 1. **python-keystoneclient-master.zip** KeystoneOpenStack 的身份管理服务,提供认证(Authentication)、...
openstack自动化搭建脚本
07-20
openstack其他服务的源码,⽐如keystone、nvoa等 ⾃动化部署原理: ⾃动执⾏安装脚本 将安装命令脚本化 : —> ⾃动⽣成配置⽂件:⽣成正确的配置参数 —> ⾃动解决依赖关系:安装依赖的软件包 服务的安装顺序 & ...
openstack_js-源码.rar
10-10
OpenStack JavaScript SDK 深度解析OpenStack是一个开源的云计算平台,它提供了基础设施即服务(IaaS)的功能,允许用户通过Web界面或API来管理计算、存储和网络资源。OpenStack_Js是针对OpenStack API开发的...
keystone:OpenStack Keystone 的厨师食谱
07-12
支持 此存储库的问题已被禁用。 这本食谱的任何问题都应该在这里提出: 请将问题命名如下: [keystone]:<问题的简短描述> 在问题描述中,请包括对问题的更长描述,以及任何相关的日志/命令/错误输出。 如果日志文件非常长,请将相关部分放入问题描述中,并链接到包含整个日志文件的要点 请参阅以获取有关为这本食谱做出贡献的更多信息。 描述 本说明书从包中安装 OpenStack 身份服务(代号:keystone),创建默认用户、租户和角色。 它还注册身份服务和身份端点。 要求 需要 Chef 0.10.0 或更高版本(用于 Chef 环境) 平台 CentOS >= 6.3 Ubuntu >= 12.04 食谱 以下说明书是依赖项: 数据库 mysql openssl osops-utils 资源/提供者 这些资源为与 keystone 服务器的 API 交互提供了一个抽象层
osf-openstack-training-master.zip
05-16
本项目主要用于开源力量《OpenStack应用实战解析及开发入门》 在线培训同步课程使用,请勿私自用于商业用途,欢迎个人随意转载,但是请保留源作者版权信息。 ##目录说明 code/ 上课用到的演示代码 installation/ ...
OpenStack实战演练及开发入门完整全套培训
02-28
课时51、Nova 调用流程源码解析 课时52、Nova 分层架构与业务模型剖析 课时53、Nova 自定义 API 扩展编码实现 课时54、Django 介绍与快速开始 课时55、Django view 和 urls 的用法 课时56、Django Templates 模板的...
OpenStack源码分析【2021-11-29】
benzenene的博客
11-29 1325
2021SC@SDUSC KeyStone概述 身份服务通常是用户与之交互的第一个服务。通过身份验证后,最终用户可以使用他们的身份访问其他 OpenStack 服务。同样,其他 OpenStack 服务利用身份服务来确保用户是他们所声称的人,并发现其他服务在部署中的位置。 Identity 服务还可以与一些外部用户管理系统(例如 LDAP)集成。 用户和服务可以使用由 Identity 服务管理的服务目录来定位其他服务。顾名思义,服务目录是 OpenStack 部署中可用服务的集合。每个服务可以有一个或多个
Openstack源代码分析之keystone服务(keystone-all)
戏笔
10-27 4458
!在调试keystone遇到问题,evenlet线程出错,解决办法参考: http://adam.younglogic.com/2012/12/keystone-and-eclipse-pydev/,主要是在调试keystone-all时增加启动参数,–standard-threads解决,其实里面也有说明,在用pydev调试是需要将ma !原因:cannot switch to a diffe
OpenStack | Keystore组件安装
hotshortgg的博客
05-21 300
????安装需要注意顺序创建数据库实例和用户keystone、数据库、Apache的安装与配置安装keystone、httpd、mod_wsgi初始化认证服务数据库初始化fernet 密钥存储库配置bootstrap身份认证服务配置Apache HTTP创建配置文件配置管理员账户的环境变量创建OpenStack 域、项目、用户和角色创建角色验证认证服务 安装需要注意顺序 在OpenStack环境部署 | T版本 的基础上,安装keystone组件,在ct控制节点上 创建数据库实例和用户 #登陆库 mysq
手动搭建OpenStackkeystone
thq1443765353的博客
06-07 826
keystone是什么? openstack是一个SOA架构,各个项目独立提供先关的服务,且互不依赖,如nova提供计算服务,glance提供镜像服务等。防止耦合性,且扩展性不高实际上所有的组件都依赖keystone
Openstack源代码分析之keystone部分(一)--WSGI接口流程分析
戏笔
11-02 4808
前面分析了keystone服务的启动工作,那启动后我们是怎么通过WSGI接口访问其中的服务的呢? keystone-paste.ini配置文件最下面 [composite:main] use = egg:Paste#urlmap /v2.0 = public_api [composite:admin] use = egg:Paste#urlmap /v2.0 = admin_
openstack keystone 命令行 csdn
07-30
OpenStack Keystone 是一个身份认证服务,提供了一套 API 接口,用于用户、项目和角色的管理。使用 OpenStack Keystone 命令行可以方便地进行对 Keystone 的配置和管理。 在命令行中,可以使用 "keystone" 命令来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值