OpenStack Fernet Key Rotate
OpenStack Fernet Key Rotate
平江夜弹 发表于5个月前
OpenStack Fernet Key Rotate
  • 发表于 5个月前
  • 阅读 13
  • 收藏 0
  • 点赞 0
  • 评论 0

腾讯云 技术升级10大核心产品年终让利>>>   

简单介绍一下OpenStack Fernet Keys 的 Rotate 工作

1.介绍

Openstack 的Fernet key 采用的是  python fernet 库生成的(https://cryptography.io/en/latest/fernet/)

from cryptography.fernet import Fernet
Fernet.generate_key()

Fernet Key 类似:

    RoFd7Kucd2RdzIoMcsc5j3nx7cHR0pWi-XVaiOel978=

2.工作方式

  • 数值最大的key 是当前的signing key (Primary Key)
  • 数值为0 的key 是即将要变成signing key 的key
  • 其它数值的key 都是 old keys,它们曾经是Primary Key。系统中也许会有一些tokens 是使用这些key 来加密的,取决于你所设置的过期时间方式
  • 新产生的key 通常都是数值为0的

3.怎么来做Rotate

举例,有三个key:0, 1, 2

  • 0 变成了 3 ,成为signing key (primary key)
  • 1 被删除
  • 2 仍然是2
  • 新创建了一个key 为0

图示如下:

    做个解释:在key rotate 之前,所有的token 都是用2来加密的。key rotate 之后,所有的token 都是用3来加密的,当过来一个token 时候,keystone 同时用3 和2 来解密,总有一个能够work 的。在这个时候,不能再次rotate,否则 2 被删除后,将会出现解密错误。

   这将要求你需要有更多的keys,或者过期时间设置的长一些。

   举例,一周做一次key rotate,然后token 的过期时间设置为2h。

 

共有 人打赏支持
粉丝 27
博文 44
码字总数 16703
×
平江夜弹
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: