
<tt><font size=2>It would be great to see this land in Kilo, I'll definitely

be willing to review the code.</font></tt>

<br>

<br><tt><font size=2>Steve</font></tt>

<br>

<br><tt><font size=2>Morgan Fainberg <morgan.fainberg@gmail.com>

wrote on 02/13/2015 04:19:15 PM:<br>

<br>

> From: Morgan Fainberg <morgan.fainberg@gmail.com></font></tt>

<br><tt><font size=2>> To: Lance Bragstad <lbragstad@gmail.com>,

"OpenStack Development <br>

> Mailing List (not for usage questions)" <openstack-dev@lists.openstack.org></font></tt>

<br><tt><font size=2>> Date: 02/13/2015 04:24 PM</font></tt>

<br><tt><font size=2>> Subject: Re: [openstack-dev] [keystone] SPFE:

Authenticated <br>

> Encryption (AE) Tokens</font></tt>

<br><tt><font size=2>> <br>

> On February 13, 2015 at 11:51:10 AM, Lance Bragstad (lbragstad@gmail.com<br>

> ) wrote:</font></tt>

<br><tt><font size=2>> Hello all, </font></tt>

<br><tt><font size=2>> <br>

> I'm proposing the Authenticated Encryption (AE) Token specification

<br>

> [1] as an SPFE. AE tokens increases scalability of Keystone by <br>

> removing token persistence. This provider has been discussed prior

<br>

> to, and at the Paris summit [2]. There is an implementation that is

<br>

> currently up for review [3], that was built off a POC. Based on the

<br>

> POC, there has been some performance analysis done with respect to

<br>

> the token formats available in Keystone (UUID, PKI, PKIZ, AE) [4].

</font></tt>

<br><tt><font size=2>> <br>

> The Keystone team spent some time discussing limitations of the <br>

> current POC implementation at the mid-cycle. One case that still <br>

> needs to be addressed (and is currently being worked), is federated

<br>

> tokens. When requesting unscoped federated tokens, the token <br>

> contains unbound groups which would need to be carried in the token.<br>

> This case can be handled by AE tokens but it would be possible for

<br>

> an unscoped federated AE token to exceed an acceptable AE token <br>

> length (i.e. < 255 characters). Long story short, a federation

<br>

> migration could be used to ensure federated AE tokens never exceed

a<br>

> certain length. </font></tt>

<br><tt><font size=2>> <br>

> Feel free to leave your comments on the AE Token spec. </font></tt>

<br><tt><font size=2>> <br>

> Thanks! </font></tt>

<br><tt><font size=2>> <br>

> Lance</font></tt>

<br><tt><font size=2>> <br>

> [1] </font></tt><a href=https://review.openstack.org/#/c/130050/><tt><font size=2>https://review.openstack.org/#/c/130050/</font></tt></a>

<br><tt><font size=2>> [2] </font></tt><a href="https://etherpad.openstack.org/p/kilo-keystone-authorization"><tt><font size=2>https://etherpad.openstack.org/p/kilo-keystone-authorization</font></tt></a>

<br><tt><font size=2>> [3] </font></tt><a href=https://review.openstack.org/#/c/145317/><tt><font size=2>https://review.openstack.org/#/c/145317/</font></tt></a>

<br><tt><font size=2>> [4] </font></tt><a href="http://dolphm.com/benchmarking-openstack-keystone-token-formats/"><tt><font size=2>http://dolphm.com/benchmarking-openstack-keystone-token-formats/</font></tt></a>

<br><tt><font size=2>> __________________________________________________________________________

<br>

> OpenStack Development Mailing List (not for usage questions) <br>

> Unsubscribe: OpenStack-dev-request@lists.openstack.org?subject:unsubscribe

<br>

> </font></tt><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev"><tt><font size=2>http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</font></tt></a><tt><font size=2>

</font></tt>

<br><tt><font size=2>> <br>

> I am for granting this exception as long as it’s clear that the <br>

> following is clear/true:</font></tt>

<br><tt><font size=2>> * All current use-cases for tokens (including

federation) will be <br>

> supported by the new token provider.</font></tt>

<br><tt><font size=2>> * The federation tokens being possibly over 255

characters can be <br>

> addressed in the future if they are not addressed here (a <br>

> “federation migration” does not clearly state what is meant.</font></tt>

<br><tt><font size=2>> I am also ok with the AE token work being re-ordered

ahead of the <br>

> provider cleanup to ensure it lands. Fixing the AE Token provider

<br>

> along with PKI and UUID providers should be minimal extra work in

the cleanup.</font></tt>

<br><tt><font size=2>> This addresses a very, very big issue within

Keystone as scaling <br>

> scaling up happens. There has been demand for solving token <br>

> persistence for ~3 cycles. The POC code makes this exception <br>

> possible to land within Kilo, whereas without the POC this would <br>

> almost assuredly need to be held until the L-Cycle.</font></tt>

<br><tt><font size=2>> <br>

> TL;DR, I am for the exception if the AE Tokens support 100% of the

<br>

> current use-cases of tokens (UUID or PKI) today.</font></tt>

<br><tt><font size=2>> <br>

> —Morgan<br>

> __________________________________________________________________________<br>

> OpenStack Development Mailing List (not for usage questions)<br>

> Unsubscribe: OpenStack-dev-request@lists.openstack.org?subject:unsubscribe<br>

> </font></tt><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev"><tt><font size=2>http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</font></tt></a><tt><font size=2><br>

</font></tt>