环境: 客户端:负责发送请求, 服务器:负责接受请求; 认证服务器keystone:负责认证
具体认证步骤:
1、客户端首先进行签名计算,将得到的签名字符串作为authorization发给keystone。利用secretkey计算签名,签名中包括:accesskey,时间戳,主机IP、端口,要找keystone进行校验的请求API,由于需要注意,keystone要求时间戳为UTC格式,所以需要转换为UTC,否则导致最后keystone验签失败,返回400 Bad Request,相关代码如下:
utc_time = datetime.datetime.utcnow().strftime('%Y-%m-%dT%H:%M:%SZ')
host = "10.0.0.3:8787" # IP为客户端要访问的服务器的IP
authorization = {'version': 'auth-v1',
'access': accesskey,
'timestamp': utc_time,
'period': '10800',
'signedheaders': '',
'signature': 'SIGNATURE_SPACE_HOLDER'}
request = {
'method': 'POST',
'uri': '/data/add',
'params': {
},
'headers': {
'x-date': utc_time,
'Host': host,
}
}
之后,用户将计算好的签名插入到API请求头部,访问服务器,计算好的签名示例如下:
x-date:2017-05-31T05:06:30Z
Authorization:auth-v1/2d6e969a81384d03848708bbb4fb0bca/2017-05-31T05:06:30Z/1800/host;x-date/128709e9cd3b3ef751cff70028851641cca8ef3262f6e9d06514ac243b839a54
Content-Type:application/json
2、服务器收到客户端请求后,首先到keystone申请token,原因是keystone要求服务携带一个表征服务身份的token,放在X-Auth-Token请求头中,token有效期一般为半小时,发送的请求为(具体的参数是keystone要求的,必须严格一致,否则导致token不对)
params = json.dumps({ "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "id": "default" }, "name": username, "password": password } } }, "scope": { "domain": { "id": "default" } } }, })
请求响应中x-token就是需要的token
最后,服务器将客户的authorization,申请到的token,以及请求的信息Method(GET), Uri(/data/add); host(服务器IP)提交到keystone来进行验签
3、keystone基于请求信息进行签名的验算,向服务返回验签过通与否,如果验证通过,服务器执行用户请求的操作