- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
据我所知,DC / OS具有两种不同类型的令牌:
身份验证令牌:通过登录名检索
https://public-master-ip/login?redirect_uri=urn:ietf:wg:oauth:2.0:oob。该令牌用于检索api令牌。
api令牌:通过对https://public-master-ip/acs/api/v1/auth/login的后调用在请求正文中使用身份验证令牌来检索。该令牌用于授权针对api的调用。这样的令牌会在5天后过期。
我的问题是
我的假设正确吗?
身份验证令牌会过期吗?如果是这样,何时以及是否有办法刷新它?
最佳答案
让我首先定义当前(1.8)开放DC / OS身份验证过程的目标,然后逐步执行您的假设。之后,我会回答您的问题。
目标
当前开放式DC / OS身份验证过程的目标是使用Auth0基础结构针对三个流行的身份提供者之一触发单点登录身份验证流,并将结果报告回DC / OS群集。如果DC / OS群集对此结果感到满意,它将发出专门针对该单独群集调整的身份验证令牌。
对您的假设的评论
身份验证令牌:通过https://public-master-ip/login?redirect_uri=urn:ietf:wg:oauth:2.0:oob登录名检索。该令牌用于检索api令牌。
大致是这样。但是,您所谓的“身份验证令牌”实际上是OpenID Connect身份提供者发出的OpenID Connect ID令牌。
让我们慢慢地讨论这个问题,因为它涉及到一点点。
幕后发生的是OpenID Connect单点登录身份验证流程。
更准确地说,DC / OS UI显示一个内嵌框架,该内嵌框架加载由Auth0托管的一段JavaScript,当您在浏览器中执行该JavaScript时,它执行所谓的implicit flow(这是三个指定的OpenID Connect身份验证流程之一)类型)。
在此流程(*
)结束时,在浏览器中执行的JavaScript代码将收到一个所谓的OpenID Connect ID Token(当然,来自身份提供者,在此情况下为Auth0)。此令牌是使用身份提供者的私钥签名的JSON Web令牌(JWT,请参见RFC7519)(在这种情况下,它实际上是Auth0,基本上是其他身份提供者(例如Google帐户)的代理)。
然后,接收ID令牌的JavaScript块-如您所说-将ID令牌POST到您的DC / OS集群(到https://public-master-ip/acs/api/v1/auth/login)。接收端是DC / OS的“管理路由器”(后者只是一个带皮筋的nginx)后面的Web应用程序。该Web应用程序检查ID令牌的有效负载(JSON),并找到键/值对"iss": "https://dcos.auth0.com/"
。因此,它知道谁(假装)已发行该令牌!然后,它继续并获取https://dcos.auth0.com/.well-known/openid-configuration(哎呀,它从哪里知道URL?这是OpenID Connect Discovery 1.0和RFC5785定义的魔术)。那里的JSON文档定义了一个JSON Web密钥集(JWKS)文档(通过RFC7517指定),揭示了与(假定)已对ID令牌签名的私钥相对应的公钥。因此,该Web应用程序将继续运行,并直接从身份提供者(通过HTTPS)获取公共密钥。然后,它使用该公共密钥来验证ID令牌的加密签名(当然,它也会检查到期时间)。如果通过了ID令牌验证,那么我所讨论的DC / OS Web应用程序正确地假设已根据Auth0对发送ID令牌的用户代理进行了成功验证。并且,信任Auth0,我们正确地假设用户代理已通过身份验证,例如Google帐户。
只有这样,它(我所讨论的DC / OS中的小型Web应用程序)才将身份存储在DC / OS中,分配唯一的用户ID,并发出DC / OS身份验证令牌。该令牌通过命名的用户ID引用给定的身份。
(*
)请注意,只有在您成功向身份验证提供者(例如Google帐户)进行身份验证并同意与第三方服务共享身份详细信息后,身份提供者才会向您的浏览器发出ID令牌。
api令牌:通过对https://public-master-ip/acs/api/v1/auth/login的后调用在请求正文中使用身份验证令牌来检索。该令牌用于授权针对api的调用。这样的令牌会在5天后过期。
在DC / OS术语中,这是DC / OS身份验证令牌。这是一个JWT,仅使用DC / OS群集已知的随机密钥签名。 DC / OS中的管理路由器可以验证此类身份验证令牌。某些针对Admin Router的HTTP请求仅在请求中包含有效的身份验证令牌时才被代理到后端服务(因此,此令牌主要用于身份验证,但如果需要的话,也可以用于非常基本的粗粒度授权) 。否则,管理路由器将以401响应(读取:“未验证”)。
您的问题的答案
我的假设正确吗?
我希望已经澄清
您所谓的“身份验证令牌”是OpenID Connect ID令牌(JWT)。
在DC / OS生态系统中,所谓的“ api令牌”就是所谓的“ DC / OS身份验证令牌”(从技术上讲,它也是JWT)。
身份验证令牌会过期吗?
我将这个问题读为“ OpenID Connect ID令牌会过期吗?”确实是的!这是规范关于ID令牌到期的说明:
exp-必填-到期时间,此后不得接受ID令牌进行处理。此参数的处理要求当前日期/时间必须早于值中列出的到期日期/时间。实施者可以提供一些小的余地,通常不超过几分钟,以解决时钟偏差。它的值是一个JSON数字,代表从1970-01-01T0:0:0Z(以UTC度量)到日期/时间为止的秒数。有关一般日期/时间(尤其是UTC)的详细信息,请参阅RFC 3339 [RFC3339]。
请注意,该规范没有规定特定的ID令牌生存期-这取决于身份提供者的设置。对于dcos.auth0.com发出的ID令牌,我刚刚确认
>>> exp = 1474742063
>>> iat = 1474310063
>>> lifetime_days = (exp - iat) / (60.0 * 60 * 24)
>>> lifetime_days
5.0
nonce
机制(描述为
in the spec),从而在多个级别上引入了更多概念上的安全性(例如减轻重播攻击)。
关于marathon - DC/OS-身份验证与api token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39546227/
在几个 SO 的问题中,有这些行可以访问代码的父目录,例如os.path.join(os.path.dirname(__file__)) returns nothing和 os.path.join(o
我想用 Python 更改文件模式。 os 模块具有三个功能上看似相同的功能: os.chmod os.fchmod os.lchmod 这三个版本有什么区别? 最佳答案 chmod 用于更改路径指定
考虑: pipe_read, pipe_write = os.pipe() 现在,我想知道两件事: (1) 我有两个线程。如果我保证只有一个正在读取 os.read(pipe_read,n) 而另一个
这个问题不太可能帮助任何 future 的访问者;它只与一个小的地理区域、一个特定的时间点或一个非常狭窄的情况有关,这些情况并不普遍适用于互联网的全局受众。为了帮助使这个问题更广泛地适用,visit
让我们以硬盘驱动器/网络接口(interface)为例。它由多个进程共享。现在多个进程可能会向硬盘驱动器发出并发命令来读取数据。当数据可用时,内核如何知道哪个进程的数据已准备好?操作系统和硬盘驱动器之
嗨,我正在尝试编写像这样的原子写入函数...... with tempfile.NamedTemporaryFile(mode= "w", dir= target_directory) as f:
net.Conn接口(interface)提供了 SetTimeout 方法,我应该用 os.Timeout 检查返回的错误.但是我看不到在返回的 os.Error 上调用 os.Timeout 的方
我正在使用 os 模块在我的 Django 项目 settings.py 文件中具有相对路径。变量 SITE_ROOT 设置为 settings.py 文件的当前工作目录,然后用于引用同样位于同一目录
正如我们所知,Windows 接受 "\" 和 "/" 作为分隔符。但是在python中,使用的是"\"。例如,调用 os.path.join("foo","bar"),将返回 'foo\\bar'。
我有以下工作目录:/Users/jordan/Coding/Employer/code_base ,我想要获取绝对路径的文件位于 /Users/jordan/Coding/Employer/code_
在 Python 中,如果路径中包含“~”,我能否确定扩展的用户调用将是绝对路径? 例如,这个表达式是否总是为真? path = '~/.my_app' os.path.expanduser(path
我是 Django 项目的初学者。Django 项目的 settings.py 文件包含这两行: BASE_DIR = os.path.dirname(os.path.dirname(os.path.
我有一个旧 MAC OS 文件存储中的文件集合。我知道集合存在文件名/路径名问题。问题源于我认为在原始操作系统中呈现为破折号的路径中包含一个代码点,但 Windows 与代码点斗争,并且其中一个包含
Ubuntu怎么安装mac os x主题呢?下文小编将为大家分享ubuntu14.04安装mac os x主题教程,安装MAC OS X&
我有一个 Firefox OS 应用程序,我希望在该应用程序之外打开一个链接(该链接指向不同的站点,在应用程序中打开它会使应用程序在没有强制的情况下无法使用)。我怎么做? Related bug re
我想为 Firefox OS 编写我的应用程序.使用什么样的语言(如 Android 的 Java 和 iOS 的 Objective C++)和工具(如 Eclipse、Xcode)? 最佳答案 适
我正在尝试创建一个 Palm OS 应用程序,以每 X 分钟或几小时检查一次网站,并在有数据可用时提供通知。我知道这种事情可以在新的 Palm 上完成——例如,当应用程序不在顶部时,我的 Centro
我需要在 Firefox OS 中显示全屏图像。我有一个具有 qHD 分辨率(960x540 像素)的“峰值”开发预览手机。 如何确保我的应用程序在其他具有不同屏幕分辨率的 firefox-os 设备
我正在尝试在 Firefox OS 中安装一个新的语言环境,但我不确定我是否正确地按照这些步骤操作。 首先,我尝试使用 Mercurial 下载所需的语言环境:它对我不起作用,Mercurial 说访
我有这个shell脚本Test.sh: #! /bin/bash FILE_TO_CHECK="/Users/test/start.txt" EXIT=0 while [ $EXIT -eq 0 ];
我是一名优秀的程序员,十分优秀!