我知道 Horizon 和 Keystone、Unscoped Token 和 Scoped Token 之间的区别。 但是,我想知道当用户请求Nova执行该功能时,Nova如何请求Scoped Token?
这是我基于 Nova 提出的问题的详细信息。 我知道 Horizon、Keystone、Unscoped Token 和 Scope Token。 但是,我想知道当用户请求 Nova 执行该函数时,Nova 如何请求 Scoped Token。
Nova 在收到用户的 Scoped 令牌后必须进行身份验证。 1.1) 当用户向“Nova”请求身份验证时,“Nova”如何进行身份验证? 1.2) 问题 1.1 完成后,Scoped Token 是 Manager Token 还是 Unscoped Token?
当“Nova”发送 X-Auth-Token 并向“Glance”请求信息时,它会从“keystone”发送 X-Subject-Token 到 X-Auth-Token,谁得到这个令牌? 情况 A :X-Auth-Token 由用户验证。 案例 B:使用 Nova Scoped 令牌和 User Scoped 令牌进行 X-Auth-Token 认证。
https://www.mirantis.com/blog/understanding-openstack-authentication-keystone-pki/ 本文解释了幕后发生的事情。
简单来说,keystone 被视为一个 CA(Certificate Athourity),对 token 进行签名,并用它的私钥对其进行加密。端点使用CA的公钥来验证令牌的有效性,端点内的验证过程可以在本地进行,而无需远程调用keystone。