<div dir="ltr"><div><div><div><div><div>Hey Paul, <br><br></div>At the Tokyo summit we discussed a general way to make it so that user tokens were only expiration tested once. When the token hits nova for example we can say it was validated, then when nova talks to glance it sends both the user token (or enough data to represent the user token) and an X-Service-Token which is the token nova validated with and we say the presence of the X-Service-Token means we should trust that the previous service already did enough validation to just trust it.<br><br></div>This is a big effort because it's going to require changing how service to service communication works at all places.<br><br></div>At the moment I don't have a blueprint for this. The biggest change is going to be making service->service communication rely on keystoneauth auth plugins so that we can have the auth plugin control what data is communicated rather than hack this in to every location and so far has required updates to middleware and future to oslo.context and others to make this easy for services to consume. This work has been ongoing by myself, mordred and morgan (if you see reviews to switch your service to keystoneauth plugins please review as it will make the rest of this work easier in future). <br><br></div>I certainly don't expect to see this pulled off in Mitaka time frame. <br><br>For the mean time more and more services are relying on trusts, which is an unfortunate but workable solution. <br><br></div>Jamie<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 18 December 2015 at 22:13, Paul Carlton <span dir="ltr"><<a href="mailto:paul.carlton2@hpe.com" target="_blank">paul.carlton2@hpe.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Jamie<br>
<br>
John Garbutt suggested I follow up this issue with you.  I understand you may be leading the<br>
effort to address the issue of token expiry during a long running operation.  Nova<br>
encounter this scenario during image snapshots and live migrations.<br>
<br>
Is there a keystone blueprint for this issue?<br>
<br>
Thanks<br>
<br>
-- <br>
Paul Carlton<br>
Software Engineer<br>
Cloud Services<br>
Hewlett Packard<br>
BUK03:T242<br>
Longdown Avenue<br>
Stoke Gifford<br>
Bristol BS34 8QZ<br>
<br>
Mobile:    <a href="tel:%2B44%20%280%297768%20994283" value="+447768994283" target="_blank">+44 (0)7768 994283</a><br>
Email:    mailto:<a href="mailto:paul.carlton2@hpe.com" target="_blank">paul.carlton2@hpe.com</a><br>
Hewlett-Packard Limited registered Office: Cain Road, Bracknell, Berks RG12 1HN Registered No: 690597 England.<br>
The contents of this message and any attachments to it are confidential and may be legally privileged. If you have received this message in error, you should delete it from your system immediately and advise the sender. To any recipient of this message within HP, unless otherwise stated you should consider this message and attachments as "HP CONFIDENTIAL".<br>
<br>
<br>
</blockquote></div><br></div>