文档章节

OpenStack Fernet Key Rotate

平江夜弹
 平江夜弹
发布于 2017/07/07 11:38
字数 330
阅读 17
收藏 0
点赞 0
评论 0

简单介绍一下OpenStack Fernet Keys 的 Rotate 工作

1.介绍

Openstack 的Fernet key 采用的是  python fernet 库生成的(https://cryptography.io/en/latest/fernet/)

from cryptography.fernet import Fernet
Fernet.generate_key()

Fernet Key 类似:

    RoFd7Kucd2RdzIoMcsc5j3nx7cHR0pWi-XVaiOel978=

2.工作方式

  • 数值最大的key 是当前的signing key (Primary Key)
  • 数值为0 的key 是即将要变成signing key 的key
  • 其它数值的key 都是 old keys,它们曾经是Primary Key。系统中也许会有一些tokens 是使用这些key 来加密的,取决于你所设置的过期时间方式
  • 新产生的key 通常都是数值为0的

3.怎么来做Rotate

举例,有三个key:0, 1, 2

  • 0 变成了 3 ,成为signing key (primary key)
  • 1 被删除
  • 2 仍然是2
  • 新创建了一个key 为0

图示如下:

    做个解释:在key rotate 之前,所有的token 都是用2来加密的。key rotate 之后,所有的token 都是用3来加密的,当过来一个token 时候,keystone 同时用3 和2 来解密,总有一个能够work 的。在这个时候,不能再次rotate,否则 2 被删除后,将会出现解密错误。

   这将要求你需要有更多的keys,或者过期时间设置的长一些。

   举例,一周做一次key rotate,然后token 的过期时间设置为2h。

 

© 著作权归作者所有

共有 人打赏支持
平江夜弹
粉丝 26
博文 46
码字总数 17198
作品 0
南京
程序员
openstack-ocata---2-keystone 安全认证

为什么写这个呢 一、为了记录自己干了啥 二、官方文档这里有点小问题 先决条件 mysql数据库 CREATE DATABASE keystone; GRANT ALL PRIVILEGES ON keystone. TO 'keystone'@'localhost' IDEN...

yr_linux运维 ⋅ 06/06 ⋅ 0

美国财富百强企业中50%使用 "创新引擎"OpenStack

三分之二的OpenStack部署现已全面进入生产领域,OpenStack人才需求猛涨,OpenStack社区发力可用性、稳定性与人才培训 2016年6月17日-北京- OpenStack基金会日前宣布,美国财富百强公司中50%...

玄学酱 ⋅ 05/22 ⋅ 0

Openstack 基金会从开源云平台转向开源基础设施分支

Openstack 基金会正在进行变革,社区从开源云平台向开源基础设施这一主题分支转变。 Openstack 是包含各种开源云基础设施组件,随便举几例,从裸机供应(Ironic)到网络(Neutron)和计算(N...

h4cd ⋅ 06/15 ⋅ 0

九州云陈沙克:OpenStack的成功源于自身的开放

OpenStack堪称是继Linux之后开源领域最成功的项目。这个6年前被NASA和RackSpace开放出的云框架,伴随着云计算市场的增长而迅速被广泛传播和认可,其中不乏英特尔等巨头的支持。不过,“人红是...

玄学酱 ⋅ 05/15 ⋅ 0

开放基础架构新浪潮:互联网巨头背后的OpenStack

2018年5月21-24日,第十七届OpenStack峰会在温哥华盛大开幕,今年峰会的主题为“Open Infrastructure”。凸显出OpenStack基金会积极拥抱变化,主动求变的态度更加清晰,也是OpenStack基金会开...

云科技时代 ⋅ 05/25 ⋅ 0

知行合一新华三借OpenStack乘“云”而上

云计算时代,企业如何搭上OpenStack的列车实现“云”路通途?7月14日~15日,首次登录中国大陆的OpenStack Days China峰会上,新华三集团旗下杭州华三通信云计算产品线总裁吴健指出,新华三基...

玄学酱 ⋅ 05/21 ⋅ 0

OpenStack波士顿峰会召开: 借助远程托管私有云、边缘计算及组合型基础设施,赢得新客户、实现新增长

主旨发言、现场演示,OpenStack借助成本效益双赢组合型开放基础设施来展示其在推动创新方面的强大实力 日前,来自六十多个国家数以千计的与会者齐聚OpenStack波士顿峰会,共同讨探讨如何实现...

玄学酱 ⋅ 04/12 ⋅ 0

白皮书:OpenStack与容器的相遇相知(上)

导 读 本文由OpenStack基金会官方发布,来自基金会、用户、厂商的16位专家作者联合撰写,原文请访问:https://www.openstack.org/containers/whitepaper 想象一下,你的任务是从头开始构建整...

lq1ns259ej3okyvk4jf ⋅ 05/28 ⋅ 0

OpenStack荣获核心基础设施计划颁发的最佳实践徽章,

2016年7月26日- 北京- OpenStack?日前宣布其开源云软件项目荣获Linux基金会核心基础设施计划(简称CII)颁发的最佳实践徽章。CII由Linux基金会发起,计划将数百万美元的资金用于资助全球信息...

玄学酱 ⋅ 05/21 ⋅ 0

通过 ansible 创建 openstack 虚拟机并部署应用(配置篇)

本文中的例子在 ansible 和 Ansible Tower 里都通过。 controller 对 openstack 的接入 本文里的 controller 是我的笔记本电脑,需要做以下配置: 建立 /etc/ansible/openstack.yml,内容如下...

李海滨 ⋅ 04/24 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

关于“幂等”操作

一个幂等(idempotent)操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同. 开发中, 我们经常考虑幂等操作的场景有“接口调用”、“MQ消费”、“自动任务”等 接口调用, 可能出现...

零二一七 ⋅ 29分钟前 ⋅ 0

Dubbo服务服务暴露之ProxyFactory Invoker

Dubbo服务暴露过程中有涉及到调用ProxyFactory 中方法获取Invoker对象的过程,现在我们来深究下源码,来看下这个过程是在做些什么,返回的Invoker 对象是什么,我们来看一下代码的切入点: ...

哲别0 ⋅ 44分钟前 ⋅ 0

GP两种连接方式性能测试

GP两种连接方式性能测试 Pivotal import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; public class GPQueryStrin......

仔仔1993 ⋅ 48分钟前 ⋅ 0

jsonrpc-4j代码解析

解析文件 AutoJsonRpcServiceImplExporter JsonServiceExporter AutoJsonRpcServiceImplExporter 路径:com.googlecode.jsonrpc4j.spring.AutoJsonRpcServiceImplExporter AutoJsonRpcServi......

郭恩洲_OSC博客 ⋅ 今天 ⋅ 0

百度搜索

from selenium import webdriver import time brower=webdriver.Firefox() brower.get('http://www.baidu.com') input=brower.find_element_by_id('kw') input.send_keys('中南大学') time.s......

南桥北木 ⋅ 今天 ⋅ 0

tomcat 日志记录器

1、日志记录器是记录消息的组件 日志记录器需要与某个servlet 容器相关联 2、Logger 接口 共定义了5种日志级别:FATAL、ERROR、WARNING、INFORMATION、DEBUGGER setVerbosity 设置级别 setC...

职业搬砖20年 ⋅ 今天 ⋅ 0

Thrift RPC实战(三) Thrift序列化机制

1.Thrift基础架构 Thrift是一个客户端和服务端的架构体系,数据通过socket传输; 具有自己内部定义的传输协议规范(TProtocol)和传输数据标准(TTransports); 通过IDL脚本对传输数据的数据结构...

lemonLove ⋅ 今天 ⋅ 0

网站建设就要像2018世界杯的俄罗斯队大杀四方[图]

今天心情不错,因为昨天晚上观看了世界杯比赛,尤其是对俄罗斯队的大杀四方感到十分霸气侧漏啊,因此我联想到了自己的博客网站,我的博客是去年年底上线的,一直想建设一个关于读书和读后感作...

原创小博客 ⋅ 今天 ⋅ 0

linux 信号机制

signal(SIGPIPE, SIG_IGN); TCP是全双工的信道, 可以看作两条单工信道, TCP连接两端的两个端点各负责一条. 当对端调用close时, 虽然本意是关闭整个两条信道, 但本端只是收到FIN包. 按照TCP协...

xxdd ⋅ 今天 ⋅ 0

my.cnf, my-small.cnf, my-medium.cnf, my-large.cnf

1. my-small.cnf # Example MySQL config file for small systems.## This is for a system with little memory (<= 64M) where MySQL is only used# from time to time and it's importa......

周云台 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部