Il servizio Identity supporta token di tipi diversi e formati per consentire a un utente di autenticarsi su uno specifico servizio Rackspace Technology Cloud.
- Il tipo del token specifica se l'utente è dotato di provisioning o federato.
- Il formato del token specifica la composizione del token stesso.
Identity ha cambiato il formato del token di autenticazione da UUID a Authenticated Encryption (AE). Gli ingegneri di Rackspace hanno implementato il nuovo formato di token sul back-end del sistema Identity e la modifica ha un impatto minimo sui clienti di Rackspace. La differenza principale è che il valore del token di autenticazione restituito dal servizio Identity ha uno schema e una lunghezza diversi rispetto ai valori del token UUID emessi in precedenza.
Nota: Assicurati di seguire le Best practice per la gestione dei token di autenticazione (disponibili più in basso in questo articolo), soprattutto se utilizzi strumenti SDK o CLI per interagire con RackspaceCloud.
Questo articolo spiega i due diversi formati di token e fornisce le migliori pratiche per lavorare con i token di autenticazione in generale.
Cos'è un token AE?
L'utilizzo della crittografia autenticata genera un token AE. La crittografia autenticata specifica un modo per proteggere un messaggio in modo che altri non possano falsificarlo, modificarlo o leggerlo.
La crittografia autenticata genera non persistente token per l'autenticazione dell'utente. Un token AE contiene tutti i dati necessari per determinare se un determinato token è valido invece di puntare a questi dati. I token AE hanno tutti i metadati crittografati all'interno del token stesso. Poiché i token AE contengono tutti i dati rilevanti, non è necessario archiviare i token nell'archiviazione permanente. Quando il server riceve il token, può analizzare i metadati del token per determinare se è valido.
A causa della crittografia, la dimensione di un token formattato AE varia. Il servizio di identità limita la dimensione dei token in formato AE a 250 byte.
L'esempio seguente mostra un oggetto token dalla risposta all'autenticazione con un ID token AE.
"token": {
"id": "ABCDEF7RbnU-LLWJ1J8PeHRGMz2Cf3rPUG_a25hQRWTcL7tH231H7ubr6y1EkRi_curq6PqJV-pCiIADZrwFtCexcy9MVO3eckgGWqDqnxvXaUMF7XA_reFwwp3pNu_7p9uXofGmiueccwrA",
"expires": "2015-08-20T23:51:19.055Z",
"tenant": {
"id": "123456",
"name": "123456"
}
Cos'è un token UUID?
I token di autenticazione che utilizzano il formato del token UUID sono persistenti gettoni. Quando un utente si autentica correttamente, il servizio di identità genera un valore token UUID di 32 caratteri e lo archivia in un'unità di archiviazione permanente sul back-end. Il servizio salva anche i metadati su quel token, come il timestamp di scadenza, a chi viene rilasciato il token e così via. Quindi, il servizio restituisce il valore del token all'utente, che può includerlo nelle successive richieste a Rackspace Cloudservices per confermare l'identità.
Quando l'utente invia una richiesta con il token, il servizio Identity convalida il valore del token rispetto ai dati archiviati nella memoria permanente per confermare che l'utente è autorizzato a eseguire l'operazione. Quando un token UUID scade, l'utente deve autenticarsi nuovamente. Quindi, il servizio Identity emette un nuovo token ed elimina anche il token scaduto dall'unità di archiviazione back-end persistente.
L'esempio seguente mostra un oggetto token dalla risposta all'autenticazione con un ID token UUID.
"token": {
"id": "b726839ca0fd4d9ead8edbb73f123456",
"expires": "2015-08-20T23:48:50.793Z",
"tenant": {
"id": "123456",
"name": "123456"
}
Qual è la differenza tra i token UUID e AE?
I token UUID e AE differiscono per persistenza, lunghezza e archiviazione.
- I token UUID sono persistenti . I token AE sono non persistenti . Con un token aUUID, ricevi un token quando ti autentichi. Quel token persiste nell'archiviazione back-end per 24 ore e il sistema restituisce lo stesso valore ogni volta che ti autentichi fino alla scadenza del token. Con AEtokens, il valore non è persistente, il che significa che il valore non è memorizzato nel back-end e il servizio Identity genera e restituisce un nuovo valore del token ogni volta che l'utente si autentica.
- I token UUID sono lunghi 32 caratteri. I token AE hanno dimensioni variabili, ma per il servizio Identity hanno un limite di 250 byte.2Con l'implementazione dei token AE, noterai che il valore del token restituito durante l'autenticazione è significativamente più lungo del valore restituito quando il servizio Identity ha emesso token UUID.
- Il sistema archivia i token UUID nel back-end del servizio Identity con i metadati per l'autenticazione. I token AE forniscono i metadati di autenticazione richiesti all'interno del valore del token crittografato. Il servizio di identità non memorizza il valore del token AE nel sistema back-end.
Best practice per la gestione dei token di autenticazione
Di seguito sono riportate alcune best practice per la gestione dei token di autenticazione.
-
Quando ti autentichi al servizio Identity, assicurati di memorizzare nella cache il valore del token restituito.
Il servizio Identity convalida il token di autenticazione in ogni richiesta API prima di tentare di completare l'operazione. Per ottimizzare le operazioni API e ridurre il carico di sistema, archivia il token di autenticazione in una cache o in un database sicuro in modo che le applicazioni possano utilizzare il valore archiviato invece di richiedere all'applicazione di inviare una richiesta di autenticazione prima di ciascuna operazione API. Puoi riutilizzare il valore del token memorizzato nella cache finché rimane valido.
Nota: Per un esempio di memorizzazione nella cache delle credenziali con un SDK, consulta Memorizzazione nella cache delle credenziali nella documentazione di php-opencloud.
-
Progetta applicazioni da riautenticare dopo aver ricevuto un
401 Unauthorized{.code} risposta da un endpoint del servizio o per verificare la scadenza del token e riautenticarsi prima che il token scada. -
Per semplificare la gestione di autenticazione, credenziali e token, utilizzare un'applicazione client a riga di comando OpenStack.
Per ulteriori informazioni, leggi la sezione Gestire i token di autenticazione nella Guida di Identity API 2.0.
Utilizza la scheda Feedback per inserire commenti o porre domande. Puoi anche avviare una conversazione con noi.