OpenStack Fernet Keys中Rotate的工作原理是什么

这篇文章主要为大家展示了“OpenStack Fernet Keys中Rotate的工作原理是什么”，内容简而易懂，条理清晰，希望能够帮助大家解决疑惑，下面让小编带领大家一起研究并学习一下“OpenStack Fernet Keys中Rotate的工作原理是什么”这篇文章吧。

1.介绍

Openstack 的Fernet key 采用的是  python fernet 库生成的(https://cryptography.io/en/latest/fernet/)

from cryptography.fernet import Fernet
Fernet.generate_key()

Fernet Key 类似：

    RoFd7Kucd2RdzIoMcsc5j3nx7cHR0pWi-XVaiOel978=

2.工作方式

• 数值最大的key 是当前的signing key (Primary Key)

• 数值为0 的key 是即将要变成signing key 的key

• 其它数值的key 都是 old keys，它们曾经是Primary Key。系统中也许会有一些tokens 是使用这些key 来加密的，取决于你所设置的过期时间方式

• 新产生的key 通常都是数值为0的

3.怎么来做Rotate

举例，有三个key：0， 1， 2

• 0 变成了 3 ，成为signing key (primary key)

• 1 被删除

• 2 仍然是2

• 新创建了一个key 为0

图示如下：

    做个解释：在key rotate 之前，所有的token 都是用2来加密的。key rotate 之后，所有的token 都是用3来加密的，当过来一个token 时候，keystone 同时用3 和2 来解密，总有一个能够work 的。在这个时候，不能再次rotate，否则 2 被删除后，将会出现解密错误。

   这将要求你需要有更多的keys，或者过期时间设置的长一些。

   举例，一周做一次key rotate，然后token 的过期时间设置为2h。

以上是“OpenStack Fernet Keys中Rotate的工作原理是什么”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注行业资讯频道！