keystone验证流程

user:使用openstack资源的用户
credential用户凭据：用来证明用户身份；可以是用户名和密码、或者一个keystone分配的token
authentication身份验证：验证用户身份的过程；keystone服务通过检查用户的credential来确认用户的身份。
token令牌：用来访问openstack api和资源；
tenant租户：用于分组或者隔离资源的容器；一个tenant可以对应一个客户、账号、或者项目

keystone验证流程：

1．用户给keystone发送credential进行身份验证
2．keystone收到用户发送的credential进行验证；如果验证失败返回401错误，如果验证成功返回一个临时token
3．用户再次给keystone发送请求一个临时token
4．keystone返回给用户tenants的列表
5. keystone返回给用户一个tenant token，同时keystone给用户返回tenant的service 列表
6. 用户发送tenant所需credentials给keystone
7. 用户发送tenant token给endpoint进行验证
8. endpoint将用户发送的tenant token发送给keystone验证用户发送的tenant token是否正确？tenant token是否被允许使用service（service包括计算、镜像、认证、存储、网络）
9. keystone验证用户tenant token成功后，返回service的endpoint地址，并且让用户去访问service

请各位大神指点指点，小弟分析的是否正确！！！！

以前的版本
tenant租户：用于分组或者隔离资源的容器；一个tenant可以对应一个客户、账号、或者项目

后来
引入 Domain 的概念
引入 Group 的概念


Domain 对应一个云用户，相当于取代了tenant，并且包含了tenant，也就是project。


可参考这个
OpenStack Keystone V3 入门介绍
http://www.aboutyun.com/forum.php?mod=viewthread&tid=19851

starrycheng 发表于 2016-9-21 15:27
以前的版本
tenant租户：用于分组或者隔离资源的容器；一个tenant可以对应一个客户、账号、或者项目

请教一个问题：为什么keystone在认证的时候是获取一个临时的token值，而不是直接获取一个永久的token。这样不是更方便了吗？还有这个临时的token和keystone的安全机制有联系吗？

完全看不懂呀，亲~~~~~

mengstlly 发表于 2016-9-22 10:17
完全看不懂呀，亲~~~~~

哪里不懂？？？？

445433045 发表于 2016-9-22 09:37
请教一个问题：为什么keystone在认证的时候是获取一个临时的token值，而不是直接获取一个永久的token。这 ...

防止破解
token经常变化应该是为了安全