RGW中的请求的认证过程

最新推荐文章于 2024-09-01 20:25:57 发布
最新推荐文章于 2024-09-01 20:25:57 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: ceph
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/litianze99/article/details/49892813
版权

RGW中的用户认证过程(keystone or rados backend)

用户s3用户请求的合法性验证过程:src/rgw/rgw_rest_s3.cc
Rgw的认证方式有两种一个是使用keystone认证;一个是使用rados自带的认证方式;根据配置判断是否使用keystone认证;如果配置了keystone方式,则keystone方式;(二选一)

int RGW_Auth_S3::authorize(RGWRados *store, struct req_state *s)
{
  bool qsr = false;
  string auth_id;
  string auth_sign;

  time_t now;
  time(&now);

  /* neither keystone and rados enabled; warn and exit! */
  if (!store->ctx()->_conf->rgw_s3_auth_use_rados
      && !store->ctx()->_conf->rgw_s3_auth_use_keystone) {
    dout(0) << "WARNING: no authorization backend enabled! Users will never authenticate." << dendl;
    return -EPERM;
  }

  if (s->op == OP_OPTIONS) {
    init_anon_user(s);
    return 0;
  }
/* initialize auth_id and auth_sign */
  if (!s->http_auth || !(*s->http_auth)) {
    auth_id = s->info.args.get("AWSAccessKeyId");
    if (auth_id.size()) {
      auth_sign = s->info.args.get("Signature");

      string date = s->info.args.get("Expires");
      time_t exp = atoll(date.c_str());
      if (now >= exp)
        return -EPERM;

      qsr = true;
    } else {
      /* anonymous access */
      init_anon_user(s);
      return 0;
    }
  } else {
    if (strncmp(s->http_auth, "AWS ", 4))
      return -EINVAL;
    string auth_str(s->http_auth + 4);
    int pos = auth_str.rfind(':');
    if (pos < 0)
      return -EINVAL;

    auth_id = auth_str.substr(0, pos);
    auth_sign = auth_str.substr(pos + 1);
  }

  /* try keystone auth first */
  int keystone_result = -EINVAL;
  if (store->ctx()->_conf->rgw_s3_auth_use_keystone
      && !store->ctx()->_conf->rgw_keystone_url.empty()) {
    dout(20) << "s3 keystone: trying keystone auth" << dendl;
//构造keystone验证的验证器。
    RGW_Auth_S3_Keystone_ValidateToken keystone_validator(store->ctx());
    string token;
//获取用于计算签名的请求头信息(s3认证)
    if (!rgw_create_s3_canonical_header(s->info, &s->header_time, token, qsr)) {
        dout(10) << "failed to create auth header\n" << token << dendl;
    } else {
      keystone_result = keystone_validator.validate_s3token(auth_id, token, auth_sign);
      if (keystone_result == 0) {
    // Check for time skew first
    time_t req_sec = s->header_time.sec();

    if ((req_sec < now - RGW_AUTH_GRACE_MINS * 60 ||
         req_sec > now + RGW_AUTH_GRACE_MINS * 60) && !qsr) {
      dout(10) << "req_sec=" << req_sec << " now=" << now << "; now - RGW_AUTH_GRACE_MINS=" << now - RGW_AUTH_GRACE_MINS * 60 << "; now + RGW_AUTH_GRACE_MINS=" << now + RGW_AUTH_GRACE_MINS * 60 << dendl;
      dout(0) << "NOTICE: request time skew too big now=" << utime_t(now, 0) << " req_time=" << s->header_time << dendl;
      return -ERR_REQUEST_TIME_SKEWED;
    }


    s->user.user_id = keystone_validator.response.token.tenant.id;
        s->user.display_name = keystone_validator.response.token.tenant.name; // wow.

        /* try to store user if it not already exists */
        if (rgw_get_user_info_by_uid(store, keystone_validator.response.token.tenant.id, s->user) < 0) {
          int ret = rgw_store_user_info(store, s->user, NULL, NULL, 0, true);
          if (ret < 0)
            dout(10) << "NOTICE: failed to store new user's info: ret=" << ret << dendl;
        }

        s->perm_mask = RGW_PERM_FULL_CONTROL;
      }
    }
  }

  /* keystone failed (or not enabled); check if we want to use rados backend */
  if (!store->ctx()->_conf->rgw_s3_auth_use_rados
      && keystone_result < 0)
    return keystone_result;

  /* now try rados backend, but only if keystone did not succeed */
  if (keystone_result < 0) {
    /* get the user info */
    if (rgw_get_user_info_by_access_key(store, auth_id, s->user) < 0) {
      dout(5) << "error reading user info, uid=" << auth_id << " can't authenticate" << dendl;
      return -ERR_INVALID_ACCESS_KEY;
    }

    /* now verify signature */

string auth_hdr;
//生成s3token
    if (!rgw_create_s3_canonical_header(s->info, &s->header_time, auth_hdr, qsr)) {
      dout(10) << "failed to create auth header\n" << auth_hdr << dendl;
      return -EPERM;
    }
    dout(10) << "auth_hdr:\n" << auth_hdr << dendl;

    time_t req_sec = s->header_time.sec();
    if ((req_sec < now - RGW_AUTH_GRACE_MINS * 60 ||
        req_sec > now + RGW_AUTH_GRACE_MINS * 60) && !qsr) {
      dout(10) << "req_sec=" << req_sec << " now=" << now << "; now - RGW_AUTH_GRACE_MINS=" << now - RGW_AUTH_GRACE_MINS * 60 << "; now + RGW_AUTH_GRACE_MINS=" << now + RGW_AUTH_GRACE_MINS * 60 << dendl;
      dout(0) << "NOTICE: request time skew too big now=" << utime_t(now, 0) << " req_time=" << s->header_time << dendl;
      return -ERR_REQUEST_TIME_SKEWED;
    }

    map<string, RGWAccessKey>::iterator iter = s->user.access_keys.find(auth_id);
    if (iter == s->user.access_keys.end()) {
      dout(0) << "ERROR: access key not encoded in user info" << dendl;
      return -EPERM;
    }
    RGWAccessKey& k = iter->second;

    if (!k.subuser.empty()) {
      map<string, RGWSubUser>::iterator uiter = s->user.subusers.find(k.subuser);
      if (uiter == s->user.subusers.end()) {
        dout(0) << "NOTICE: could not find subuser: " << k.subuser << dendl;
        return -EPERM;
      }
      RGWSubUser& subuser = uiter->second;
      s->perm_mask = subuser.perm_mask;
    } else
      s->perm_mask = RGW_PERM_FULL_CONTROL;

string digest;
//生成s3 token
    int ret = rgw_get_s3_header_digest(auth_hdr, k.key, digest);
    if (ret < 0) {
      return -EPERM;
    }

    dout(15) << "calculated digest=" << digest << dendl;
    dout(15) << "auth_sign=" << auth_sign << dendl;
    dout(15) << "compare=" << auth_sign.compare(digest) << dendl;

    if (auth_sign != digest) {
      return -ERR_SIGNATURE_NO_MATCH;
    }

    if (s->user.system) {
      s->system_request = true;
      dout(20) << "system request" << dendl;
      s->info.args.set_system();
      string effective_uid = s->info.args.get(RGW_SYS_PARAM_PREFIX "uid");
      RGWUserInfo effective_user;
      if (!effective_uid.empty()) {
        ret = rgw_get_user_info_by_uid(store, effective_uid, effective_user);
        if (ret < 0) {
          ldout(s->cct, 0) << "User lookup failed!" << dendl;
          return -ENOENT;
        }
        s->user = effective_user;
      }
    }

  } /* if keystone_result < 0 */

  // populate the owner info
  s->owner.set_id(s->user.user_id);
  s->owner.set_name(s->user.display_name);

  return  0;
}
李艳坤
关注
专栏目录
云原生之深入解析分布式存储系统Ceph的环境部署和实战操作
╰つ栺尖篴夢ゞ
07-13 1400
Ceph 是当前非常流行的开源分布式存储系统,具有高扩展性、高性能、高可靠性等优点,同时提供块存储服务(rbd)、对象存储服务(rgw)以及文件系统存储服务(cephfs),Ceph 在存储的时候充分利用存储节点的计算能力,在存储每一个数据时都会通过计算得出该数据的位置,尽量的分布均衡。目前,Ceph 也是 OpenStack 的主流后端存储。
rgw认证
huangaijuan1的博客
07-17 1119
ceph local_engine 使用保存在RGW的meta pool的AccessKey和SecretKey对请求的AccessKeyId和Signature进行验证,可由bool配置项rgw_s3_auth_use_rados控制是否启用。 external_engine 递归地引入外部身份验证Engine的支持 keystone_engine(swift) 类型为EC2En...
RGW S3 Authorize解析
weixin_34266504的博客
04-18 288
2019独角兽企业重金招聘Python工程师标准>>> ...
Ceph分布式存储系列(七):对象存储RGW和S3cmd的安装配置及常用命令
97运维的博客
11-01 3256
ceph-deploy部署的集群RGW的安装使用及常用命令 对象存储管理工具S3cmd的安装使用及常用命令
一文读懂CEPH RGW基本原理
shichungang的博客
06-07 7381
一文读懂CEPH RGW基本原理。本文从RGW的基本原理出发,从整体上描述RGW的框架结构,突出关键结构之间的关联关系,从基础代码分析关键环节的实现细节,以达到清晰说明RGW模块“骨架”的效果。
【Ceph集群应用】Ceph对象存储系统之RGW接口详解
陌上花开,静待绽放!
07-18 3492
请相信,你的潜力远没有爆发出来,切勿给自己的人生设限,你自以为的极限,只是别人的起点。
ceph rgw关键流程分析及业务逻辑
梦幻之巅
07-17 2376
本来不想再写Ceph相关的文章了,最近在做ceph元数据优化研究及架构,整体思路是:将rados作为数据存储引擎,构建分布式元数据集群来管理元数据,如:将rgw或者fs相关的元数据从ceph的元数据池抽取出来,转存到分布式元数据集群,以此达到提升单集群处理能力的目的;要达到这个目的,有两个基础条件:1.对cephrgw或者fs的各CURD操作原理及IO路径非常熟悉,2.对ceph元数据的组织及存储非常熟悉;然后才能在rgw或者mds的IO路径进行数据及元数据的分离操作,并以合适的格式将元数据转存.
Ceph RGW 设计与实现
redenval的专栏
03-08 7892
1.总体架构       rgw 作为对象存储网关系统, 一方面扮演RADOS集群客户端角色, 为对象存储应用提供数据存储; 另一方面扮演HTTP 服务端角色, 接受并解析互联网传送的数据。       通过 HTTP 协议与 Swift 和 S3 应用通讯, 后端与 librados 结合, 通过socket 与 RADOS 集群通讯。 RGW 支持目前主流的WEB服务器, 包括 Civetwe...
【Ceph】Ceph-RGW基本原理
小鱼菜鸟的博客
06-10 452
原文:https://www.sohu.com/a/120065877_468741 背景 Ceph提供了三种存储类型:块存储、文件存储和对象存储,本文主要介绍对象存储的RGW基本原理和应用场景。 RGW 1 什么是对象存储? 对象存储(云存储)是面向对象/文件的、海量的互联网存储。对象存储里的对象是经过封装了的文件,在对象存储系统里, 不能...
Ceph配置参数分析
for_tech的博客
05-15 9838
Ceph参数配置详解
ceph基本操作(rbd、rgw、cephfs) ,ceph与openstack集成,ceph主备
w975121565的博客
09-09 2687
ceph基本操作(rbd、rgw、cephfs) ,ceph与openstack集成,ceph主备
第24讲:Ceph集群RGW对象存储高可用集群部署与测试
江晓龙的博客
06-03 1863
停掉ceph-node-1节点的Haproxy服务后,Keepalived随之就检测到Haproxy的服务异常了,并且自动将优先级下降20,原本主节点keepalived的优先级为100,备用节点的keepalived优先级的为90,主节点下降20后,优先级变成了80,优先级比备用节点低,此时备用节点就认为自己是主节点,从而抢占了主节点的VIP地址,并将自己升级为了主节点,此时的主节点也知道优先级比它低,故而放弃主节点和VIP地址。1)停掉ceph-node-1节点的Haproxy服务。
rgw对接openstack barbican
huangaijuan1的博客
11-18 586
http://docs.ceph.com/docs/master/radosgw/barbican/ https://blog.csdn.net/happyteafriends/article/details/78551103 https://blog.csdn.net/u011211976/article/details/78970642 ceph.conf配置 rgw_barbican_url = http://100.75.0.19:9311 rgw_keystone_barbican_us
对象存储-RGW
weixin_45437959的博客
05-24 972
定义 Ceph对象存储使用Ceph对象网关守护程序(radosgw),这是一个用于与Ceph存储集群交互的HTTP服务器。由于它提供了与openstackswift和amazons3兼容的接口,因此Ceph对象网关有自己的用户管理。Ceph对象网关可以在用于存储来自Ceph文件系统客户端或Ceph块设备客户端的数据的Ceph存储集群存储数据。 桶(Bucket)是对象的载体,可理解为存放对象的“容器”,且该“容器”无容量上限。对象以扁平化结构存放在存储桶,无文件夹和目录的概念,用户可选择将对象存放到单个
ceph对象存储和REST api访问对象存储实战
最新发布
悦分享
09-01 118
对象存储将数据存储为离散的项,每个项单独称为一个对象。与文件系统的文件不同,对象不是在目录和子目录树组织的。相反,对象存储在平坦的名称空间。通过使用对象的唯一对象ID(也称为对象键)检索每个对象。应用程序不使用普通的文件系统操作来访问对象数据。相反,应用程序访问REST API来发送和接收对象。Red Hat Ceph Storage支持两种最常见的对象api: Amazon S3(简单存储服务)和OpenStack Swift(OpenStack对象存储)。
ceph 16.2.15 实操
怨行客
04-25 378
1、mon负责认证,mon一定要三个,要不一个坏了以后还咋认证。2、认证完才能对ceph增删改查。
rgw object read and write
weixin_33701294的博客
04-12 499
2019独角兽企业重金招聘Python工程师标准>>> ...
RGW概要分析
chuxinxia8434的博客
06-30 502
RGW简介 Ceph对象存储又名RGW,提供REST风格的API接口,兼容S3和swift。RGW简单来说就是一个语义转换层,以s3接口来说,就是将s3语义的数据读写转换成rados集群对象的读写。比方说上传文件,RGW主要做的事情就是将文件对象拆分成多个rados集群对象保存下来(当然...
CEPH RGW处理请求过程
litianze99的专栏
11-17 5563
Rgw处理请求过程Rest api: Put /{bucket} HTTP/1.1 x-amz-acl: public-read-write Authorization: AWS {access}:{hash-of-header-and-secret}这里依civetweb来提供rest服务来介绍,一个请求的处理过程。 回调函数的注册: 在civetweb注册了用于处理请求的回调函数,在文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值