显式非范围令牌¶
V3 API 没有提供在用户设置了 default_project_id 的情况下请求非范围令牌的方式。
问题描述¶
Keystone 具有 default_project_id 的概念,这意味着如果在身份验证请求中未指定范围,则假定范围为 default_project_id。 这使得设置了 default_project_id 的用户无法获得非范围令牌。
提议的变更¶
添加一种机制来指定无论是否存在 default_project_id,都请求非范围令牌。
备选方案¶
无。
安全影响¶
理想情况下,出于安全考虑,我们希望保持范围令牌和非范围令牌之间的明确分离。 这可能是删除 default_project_id 并强制执行非范围工作流程的第一步。
通知影响¶
无。
其他最终用户影响¶
Keystoneclient 需要在其身份验证插件上添加一个新选项,以表明需要非范围令牌。 这不应更改应用程序的典型流程,因为应用程序已经需要处理收到的令牌是非范围令牌的情况。
性能影响¶
无。
其他部署者影响¶
无。
开发人员影响¶
这将带来更一致的身份验证流程。
实现¶
负责人¶
- 主要负责人
jamielennox
- 其他贡献者
ayoung
工作项¶
将更改添加到身份验证路由。
在 keystoneclient 中为身份验证插件添加选项。
依赖项¶
无。
文档影响¶
identity-api 中有一个新选项,并且 keystoneclient 中的身份验证插件上也对应有一个新选项。
参考资料¶
无。
