四、vault - 令牌验证 Token Authentication

令牌验证后端 （ token backend）是内置的，是客户端认证的核心；。其他身份验证后端也可以对客户端进行身份验证, 但他们的客户端令牌（token ）最终由令牌后端（token backend）管理。

每一个令牌都有以下属性：

1、ID ：令牌的主ID，是一个随机生成的UUID
2、显示名称：可选项,适合人类阅读的名称
3、元数据：元数据用于审计日志记录
4、使用次数：可选项,限制使用次数
5、父ID：可选项,创建这个子令牌的父令牌
6、策略：一个与其关联的ACL列表的策略
7、源路径：路生成令牌的路径(例如. auth/github/login)

令牌创建后，它的属性是不可变的。“使用次数”是个例外,这属性会根据每次请求进行递减。这些特性使vault能做许多事情。

每个令牌维护着源路径,或者登录路径,这些信息在创建令牌是就已提供。这是用于允许基于源信息来撤销令牌。例如,如果我们确信GitHub组织被破坏,我们可能想要撤销所有通过auth/github/login 生成的令牌。可以使用sys/revoke-prefix/的API auth/github/ 前缀。撤销这个前缀将撤销所有在这个路径的客户端令牌,以及所有这些令牌动态生成的密码。在系统受到威胁时，这提供了一个“破窗而出”的方式。

如果一个令牌是由另一个身份验证后端创建,他将没有父级令牌。然而,任何一个通过auth/token/create API创建的令牌都有一个父令牌，即这次请求使用的令牌。通过保持这种亲子关系,形成vault令牌模型树。子令牌可以创建父令牌策略的子集策略,并且允许删除这个权限。撤销一个令牌时,令牌的整个子树将被撤销。这允许客户端安全地生成子令牌,安全的撤销他们的根令牌。

子令牌非常有用，特别是结合“限次令牌”。创建令牌时，它的使用计数可以选择性地指定。当使用计数为“1”时即为一次性令牌（one time token）。这意味着该令牌在单次请求后被自动销毁。这个用途可以推广到任意数量的次数上。”限次令牌”不能用于创建子令牌，但也为有限次访问vault服务提供了一种极为强大支持。