GNU/Linux >> Znalost Linux >  >> Linux

Úvod do šifrovaných ověřených tokenů

Služba identity podporuje tokeny různých typů a formáty abyste umožnili uživateli autentizaci proti konkrétní službě Rackspace Technology Cloud.

  • typ tokenu určuje, zda je uživatel zřízen nebo federován.
  • Formát tokenu určuje složení samotného tokenu.

Identity přepnul formát ověřovacího tokenu z UUID na Authenticated Encryption (AE). Inženýři Rackspace implementovali nový formát tokenu na backend systému Identity a změna má minimální dopad na zákazníky Rackspace. Hlavní rozdíl je v tom, že hodnota ověřovacího tokenu vrácená službou Identity má jiný vzor a délku než hodnoty tokenu UUID vydané dříve.

Poznámka: Ujistěte se, že dodržujete doporučené postupy pro zacházení s autentizačními tokeny (uvedené dále v tomto článku), zejména pokud k interakci s RackspaceCloud používáte nástroje SDK nebo CLI.

Tento článek vysvětluje dva různé formáty tokenů a poskytuje obecně osvědčené postupy pro práci s ověřovacími tokeny.

Co je token AE?

Použití Authenticated Encryption generuje AE token. Authenticated encryption specifikuje způsob, jak zabezpečit zprávu, aby ji ostatní nemohli zfalšovat, změnit nebo přečíst.

Ověřené šifrování generuje netrvalé tokeny foruser autentizace. Token AE obsahuje všechna potřebná data k určení, zda je daný token platný, místo toho, aby ukazoval na tato data. AE tokeny mají všechna zašifrovaná metadata v rámci samotné tokenové sady. Protože tokeny AE obsahují všechna relevantní data, není potřeba tyto tokeny ukládat do trvalého úložiště. Když server obdrží token, může analyzovat metadata tokenu a určit, zda je platný.

Kvůli šifrování se velikost tokenu ve formátu AE liší. Služba Identity omezuje velikost tokenu ve formátu AE na 250 bajtů.

Následující příklad ukazuje objekt tokenu z autentizační odpovědi s ID tokenu AE.

"token": {
      "id": "ABCDEF7RbnU-LLWJ1J8PeHRGMz2Cf3rPUG_a25hQRWTcL7tH231H7ubr6y1EkRi_curq6PqJV-pCiIADZrwFtCexcy9MVO3eckgGWqDqnxvXaUMF7XA_reFwwp3pNu_7p9uXofGmiueccwrA",
      "expires": "2015-08-20T23:51:19.055Z",
       "tenant": {
       "id": "123456",
       "name": "123456"
         }

Co je token UUID?

Ověřovací tokeny, které používají formát tokenu UUID, jsou trvalé žetony. Když se uživatel úspěšně autentizuje, služba Identity vygeneruje 32znakovou hodnotu tokenu UUID a uloží ji do trvalé úložné jednotky na zadní straně. Služba také ukládá metadata o tomto tokenu, jako je časové razítko vypršení platnosti, komu je token vydán a tak dále. Poté služba vrátí hodnotu tokenu uživateli, který ji může zahrnout do následných požadavků na Rackspace Cloudservices za účelem potvrzení identity.

Když uživatel odešle požadavek s tokenem, služba identity ověří hodnotu tokenu s daty uloženými v trvalém úložišti, aby potvrdila, že uživatel je oprávněn provést operaci. Když vyprší platnost tokenu UUID, uživatel se musí znovu ověřit. Poté služba identity vydá nový token a také vymaže token, jehož platnost vypršela, z trvalé úložné jednotky typu back-end.

Následující příklad ukazuje objekt tokenu z autentizační odpovědi s ID tokenu UUID.

"token": {
      "id": "b726839ca0fd4d9ead8edbb73f123456",
      "expires": "2015-08-20T23:48:50.793Z",
      "tenant": {
      "id": "123456",
      "name": "123456"
         }

Jaký je rozdíl mezi tokeny UUID a AE?

Tokeny UUID a AE se liší svou perzistencí, délkou a úložištěm.

  • Tokeny UUID jsou trvalé . Tokeny AE jsou netrvalé . S tokenem aUUID obdržíte token při ověřování. Tento token přetrvává v back-endovém úložišti po dobu 24 hodin a systém vrací stejnou hodnotu při každém ověření, dokud nevyprší platnost tokenu. U AEtokens je hodnota neperzistentní, což znamená, že hodnota není uložena na backendu a služba Identity generuje a vrací novou hodnotu tokenu pokaždé, když se uživatel autentizuje.
  • Tokeny UUID mají délku 32 znaků. Tokeny AE se liší velikostí, ale pro službu Identity mají limit 250 bajtů.2S implementací tokenů AE si všimnete, že hodnota tokenu vrácená při ověřování je výrazně delší než hodnota vrácená, když služba Identity vydala tokeny UUID.
  • Systém ukládá tokeny UUID v back-endu služby Identity s metadaty pro ověření. Tokeny AE poskytují požadovaná metadata ověření v rámci zašifrované hodnoty tokenu. Služba TheIdentity neukládá hodnotu tokenu AE v systému back-end.

Doporučené postupy pro manipulaci s ověřovacími tokeny

Níže jsou uvedeny některé osvědčené postupy pro práci s ověřovacími tokeny.

  • Když se ověřujete ke službě identity, nezapomeňte uložit vrácenou hodnotu tokenu do mezipaměti.

    Služba Identity ověřuje autentizační token v každém požadavku API, než se pokusí dokončit operaci. Chcete-li optimalizovat operace rozhraní API a snížit zatížení systému, uložte ověřovací token do zabezpečené mezipaměti nebo databáze, aby aplikace mohly použít uloženou hodnotu namísto toho, aby aplikace vyžadovala před každou operací rozhraní API požadavek na ověření. Hodnotu tokenu uloženého v mezipaměti můžete znovu použít, dokud zůstane platná.

    Poznámka: Příklad ukládání pověření do mezipaměti pomocí sady SDK naleznete v části Ukládání pověření do mezipaměti v dokumentaci php-opencloud.

  • Navrhněte aplikace pro opětovné ověření po obdržení 401 Unauthorized {.code} odpověď z koncového bodu služby nebo pro kontrolu vypršení platnosti tokenu a opětovné ověření před vypršením platnosti tokenu.

  • Chcete-li zjednodušit ověřování, pověření a správu tokenů, použijte klientskou aplikaci příkazového řádku OpenStack.

Další informace naleznete v části Správa ověřovacích tokenů v příručce Identity API 2.0.

Pomocí karty Zpětná vazba můžete přidat komentáře nebo položit otázky. Můžete s námi také zahájit konverzaci.


Linux

  1. Programovací jazyk C - Úvod

  2. Úvod do příkazu diff

  3. Úvod do iptables

  1. Úvod do GNU Autotools

  2. Plesk:Úvod

  3. Nouzové vymazání SSD

  1. Úvod do GNU Core Utilities

  2. Úvod do Nmap na Kali Linuxu

  3. Úvod do editoru vi