<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">On 07/07/2014 05:39 AM, Marco Fargetta
      wrote:<br>
    </div>
    <blockquote
      cite="mid:20140707093937.GB4312@sonny.areagrid.ct.infn.it"
      type="cite">
      <pre wrap="">On Fri, Jul 04, 2014 at 06:13:30PM -0400, Adam Young wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">Unscoped tokens are really a proxy for the Horizon session, so lets
treat them that way.


1.  When a user authenticates unscoped, they should get back a list
of their projects:

some thing along the lines of:

domains [{   name = d1,
                 projects [ p1, p2, p3]},
               {   name = d2,
                 projects [ p4, p5, p6]}]

Not the service catalog.  These are not in the token, only in the
response body.


2.  Unscoped tokens are only initially via HTTPS and require client
certificate validation or Kerberos authentication from Horizon.
Unscoped tokens are only usable from the same origin as they were
originally requested.


3.  Unscoped tokens should be very short lived:  10 minutes.
Unscoped tokens should be infinitely extensible:   If I hand an
unscoped token to keystone, I get one good for another 10 minutes.

</pre>
      </blockquote>
      <pre wrap="">
Using this time limit horizon should extend all the unscoped token
every x min (with x< 10). Is this useful or could be long lived but
revocable by Keystone? In this case, after the unscoped token is
revoked it cannot be used to get a scoped token.</pre>
    </blockquote>
    Close. I was thinking more along the lines of  Horizon looking at
    the unscoped token and, if it is about to expire, exchanging one
    unscoped token for another.  The unscoped tokens would have a short
    time-to-live (10 minutes) and any scoped tokens they create would
    have the same time span:  we could in theory make the unscoped last
    longer, but I don't really think it would be necessary.<br>
    <br>
    <blockquote
      cite="mid:20140707093937.GB4312@sonny.areagrid.ct.infn.it"
      type="cite">
      <pre wrap="">




</pre>
      <blockquote type="cite">
        <pre wrap="">
4.  Unscoped tokens are only accepted in Keystone.  They can only be
used to get a scoped token.  Only unscoped tokens can be used to get
another token.


Comments?

_______________________________________________
OpenStack-dev mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a>
<a class="moz-txt-link-freetext" href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a>
</pre>
      </blockquote>
      <pre wrap="">
</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
OpenStack-dev mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a>
<a class="moz-txt-link-freetext" href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>