全部建议
>
建议详情
- 预审中
- 预审通过
- 3 未采纳
【产品缺陷】不同类型服务的 token 设计 未采纳 编辑 删除
- 网络
- 管理与监管
- 虚拟私有云 VPC
- 统一身份认证服务 IAM
vpc 等相关的 api 是 基于 region 的,cci 等接口是全局的
我现在为了使用 vpc 的接口需要单独根据服务类型来申请 token,因为不用使用全局的 token
而我使用 cci 的又随便使用 token 不影响
project id 和 region 这东西就不应该放在 token 里面让他生成的时候控制,token 要做的是确认权限,不是限定服务工作范围,那些全局性的接口就很 ok,我的 token 就是随便从哪里生成了,需要去那个 endpoint 请求内容就直接去了,这样全局也就只维护一个 token 并作对应的到期续订即可
结果为了一些特定的服务现在还需要做独立 region 的 project id 绑定的 token 管理,在这基础之上还要再做生命周期管理
另外,也没看到说明具体哪些服务的 token 是区域绑定的,哪些不绑定,为了调明白为什么我的 cci 接口好的很,vpc 一直不通浪费我一天多时间,不是我想骂人,但现在部分服务使用的 token 的设计说不好听的给人的感觉就是智障设计
点宽
发布于 2020-06-19 16:35:21
2020-06-19
960 2
0%
0%
取消
发表
0/1000
+ 插入图片0/4
仅支持JPG、JPEG、PNG、GIF,数量不超过4张且每张大小不超过2MB
0%
0%
新窗
关闭
删除建议
全部评论(2)
评论(2)
您好,关于您提交的建议产品和研发团队进行了评估,1、Token是来自OpenStack架构的PKI Token机制。OpenStack架构里面用户的权限角色是和项目相关的,可以看看https://support.huaweicloud.com/productdesc-iam/iam_01_0023.html 这里的权限模型介绍。所以Token中需要带有project信息的。2、https://support.huaweicloud.com/productdesc-iam/iam_01_0024.html 这个文档里面,所属区域为“除全局区域外的其他区域”则是区域绑定的,所属区域为“全局区域”则是全局的。3、华为云也提供了另外一种鉴权机制(AKSK)https://support.huaweicloud.com/devg-apisign/api-sign-provide.html,使用这种机制,代码是和Token解耦的,更不需要到期续订等复杂的生命周期管理动作。这种机制也提供了更好的安全保护性。如果您的代码并不要求兼容OpenStack,则推荐使用这种机制。很抱歉未能采纳,还请您谅解。
希望您能继续关注云声平台,期待提出更多建议,感谢您对华为云的支持!
非常感谢您的反馈,您的建议我们已经收到,并已提交至相关产品团队进行核查评估,评估完成后对于建议是否采纳会尽快给您答复,也请您持续关注云声平台,了解建议进一步处理进展,感谢您对华为云的支持!