Quantum的权限认证(3)

本文地址：http://blog.csdn.net/spch2008/article/details/9700071

这里主要说一下，权限信息的加载过程。

quantum\openstack\common\policy.py中

全局变量_checks = {}是一个字典，存放各种权限验证类。比如;

{'rule':RuleCheck, 'role':RoleCheck}，由于使用了装饰器，所以，此模块被加载时，_checks就被初始化了，具体可参见带参数的装饰器。

def register(name, func=None):

    def decorator(func):
        _checks[name] = func
        return func

    if func:
        return decorator(func)

    return decorator

@register("role")
class RoleCheck(Check):
    def __call__(self, target, creds):
        """Check that there is a matching role in the cred dict."""

        return self.match.lower() in [x.lower() for x in creds['roles']]

由于register只传递一个参数'role'，所以，register中func值为None，用返回的decorator函数装饰RoleCheck类，将类存放于_check中。

class Rules(dict):
    
    @classmethod
    def load_json(cls, data, default_rule=None):
        
        rules = dict((k, parse_rule(v)) for k, v in
                     jsonutils.loads(data).items())
          
        return cls(rules, default_rule)

data为policy.json中的数据，jsonutils.loads将数据组织成字典返回。所以，对于数据

{
"admin_or_owner": [["role:admin"], ["tenant_id:%(tenant_id)s"]],  
"get_port": [["rule:admin_or_owner"]],
} 

实际返回的就是上述格式的字典，然后进行列表解析。

def parse_rule(rule):
    
    if isinstance(rule, basestring):
        return _parse_text_rule(rule)
    return _parse_list_rule(rule)

rule是一个[["role:admin"], ["tenant_id:%(tenant_id)s"]]存放列表的列表，所以继续调用_parse_list_rule

def _parse_list_rule(rule):
    #空条目，例如[]，返回TrueCheck，永真
    if not rule:
        return TrueCheck()
		
    or_list = []
    for inner_rule in rule:
        if isinstance(inner_rule, basestring):
            inner_rule = [inner_rule]
   
        and_list = [_parse_check(r) for r in inner_rule]

        if len(and_list) == 1:
            or_list.append(and_list[0])
        else:
            or_list.append(AndCheck(and_list))

    # If we have only one check, omit the "or"
    if len(or_list) == 0:
        return FalseCheck()
    elif len(or_list) == 1:
        return or_list[0]

    return OrCheck(or_list)

得到的and_list如果只有一个，则可以直接加入or_list，如果有多个，需要合成一个AndCheck对象，表示每一个都需要匹配。

最终，如果or_list大于一个元素，则形成一个Orcheck对象。

原理很简单：对于[ ["role:admin"], ["tenant_id:%(tenant_id)s"] ]情况，只需要满足内部一个条件即可, OrCheck。

而对于 ["role:admin", "tenant_id:%(tenant_id)s"] 这种情况，需要每一个都要满足，需要一个AndCheck。

def _parse_check(rule):

    # Handle the special checks
    if rule == '!':
        return FalseCheck()
    elif rule == '@':
        return TrueCheck()

    try:
        kind, match = rule.split(':', 1)
    except Exception:
        return FalseCheck()

    if kind in _checks:
        return _checks[kind](kind, match)
    elif None in _checks:
        return _checks[None](kind, match)
    else:
        return FalseCheck()

对于一个规则，rule:admin_or_owner， 拆分成kind(rule)与match(admin_or_owner)，如果是'rule','role'等创建相应的对象，

如果没有匹配，则创建一个GenericCheck。