环境: 客户端:负责发送请求, 服务器:负责接受请求; 认证服务器keystone:负责认证
具体认证步骤:
1、客户端首先进行签名计算,将得到的签名字符串作为authorization发给keystone。利用secretkey计算签名,签名中包括:accesskey,时间戳,主机IP、端口,要找keystone进行校验的请求API,由于需要注意,keystone要求时间戳为UTC格式,所以需要转换为UTC,否则导致最后keystone验签失败,返回400 Bad Request,相关代码如下:
utc_time = datetime.datetime.utcnow().strftime(‘%Y-%m-%dT%H:%M:%SZ‘)
host = "10.0.0.3:8787" # IP为客户端要访问的服务器的IP
authorization = {‘version‘: ‘auth-v1‘,
‘access‘: accesskey,
‘timestamp‘: utc_time,
‘period‘: ‘10800‘,
‘signedheaders‘: ‘‘,
‘signature‘: ‘SIGNATURE_SPACE_HOLDER‘}
request = {
‘method‘: ‘POST‘,
‘uri‘: ‘/data/add‘,
‘params‘: {
},
‘headers‘: {
‘x-date‘: utc_time,
‘Host‘: host,
}
}
之后,用户将计算好的签名插入到API请求头部,访问服务器,计算好的签名示例如下:
x-date:2017-05-31T05:06:30Z
Authorization:auth-v1/2d6e969a81384d03848708bbb4fb0bca/2017-05-31T05:06:30Z/1800/host;x-date/128709e9cd3b3ef751cff70028851641cca8ef3262f6e9d06514ac243b839a54
Content-Type:application/json
2、服务器收到客户端请求后,首先到keystone申请token,原因是keystone要求服务携带一个表征服务身份的token,放在X-Auth-Token请求头中,token有效期一般为半小时,发送的请求为(具体的参数是keystone要求的,必须严格一致,否则导致token不对)
params = json.dumps({
"auth": {
"identity": {
"methods": [
"password"
],
"password": {
"user": {
"domain": {
"id": "default"
},
"name": username,
"password": password
}
}
},
"scope": {
"domain": {
"id": "default"
}
}
},
})
请求响应中x-token就是需要的token
最后,服务器将客户的authorization,申请到的token,以及请求的信息Method(GET), Uri(/data/add); host(服务器IP)提交到keystone来进行验签
3、keystone基于请求信息进行签名的验算,向服务返回验签过通与否,如果验证通过,服务器执行用户请求的操作