Ocata 系列发布说明

4.12.0

序言

现在允许在使用有效服务令牌时获取过期的令牌。 这将有助于长时间运行的操作,这些操作必须在服务之间持续进行,超过原始令牌的有效期。

新特性

  • AuthToken 中间件现在允许在存在有效服务令牌时获取过期的令牌。 此服务令牌必须包含 service_token_roles 中指定的任何一个角色。

  • 服务令牌会与有效角色的列表进行比较。 这将确保只有服务以 X-Service-Token 的形式提交令牌。 为了向后兼容,如果未设置 service_token_roles_required,将发出警告。 要正确执行检查,请将 service_token_roles_required 设置为 True。 目前默认值为 False

升级说明

  • service_token_roles 设置为服务可能拥有的角色列表。 可能的列表是 serviceadmin。 任何 service_token_roles 都可能适用以接受服务令牌。 确保服务用户具有其中一个角色,以便服务间通信能够正常工作。 验证后,将 service_token_roles_required 标志设置为 True 以强制执行此行为。 这将在未来的版本中成为默认设置。

弃用说明

  • 为了向后兼容,在 [keystone_authtoken] 中添加了 service_token_roles_required 选项。 该选项默认为 False,并立即被弃用。 这将允许当前行为,即验证服务令牌但不检查角色继续进行。 应该尽快将该选项设置为 True。 在未来的版本中,该选项将默认为 True