目录

Keystone 认证流程

1. User 使用凭证(username/password) 到 keystone 验证并获得一个临时的 Token 和 Generic catalog(全局目录)，临时的 Token 会存储在 keystone-client(cache UUID locally) 和 keystone-backend 中。
2. User 使用这个临时 Token 发送给 keystone 并获得一个该 User 能访问的 Tenants 列表
3. User 再跟 keystone 发送一个请求，表明希望访问的 Tenants
4. keystone 就会向 User 发送一个管理这个 Tenants 的 Services 列表和允许访问这个 Tenants 的 Token (Tenants Token)
5. User 会通过这个 Services 和 Generic catalog(全局目录) 映射找到 Services 的 endpoint，并通过 endpoint 找到实际 Services 组件的位置
6. 然后 User 再拿着 Tenant Token 和 endpoint 来访问实际上的 Service 组
7. Service 组件会拿着这个 User-Tennat Token 对到 keystone 做进一步的验证(Openstack 要保证每一步操作都是安全的)
8. 如果通过了 7. 的验证的话ÿ

文章来源: is-cloud.blog.csdn.net，作者：范桂飓，版权归原作者所有，如需转载，请联系作者。

原文链接：is-cloud.blog.csdn.net/article/details/53204536