很感谢回复。 应该在某些操作里确实是有的,但是就pause虚机这一个操作来说,确实没有。pause虚机部分在policy做策略校验时,没有传入target,所以默认使用的是context中的projectid和userid,导致虚机所属的projectid和userid没有和当前调用API的参数进行比对校验。 TracyBin 地址:济南市高新区 发件人: yan.haifeng 发送时间: 2016-01-26 20:29 收件人: yan_5386 at 163.com; openstack-zh at lists.openstack.org 主题: Re:[Openstack-zh] openstack策略相关问题分析 可以很明确回答是有的.policy模块再仔细跟跟代码. 别问我具体在哪, 因为我也忘记了. ------------------ Best Regards, Haifeng Yan ------------------ Original ------------------ From: "yan_5386 at 163.com"<yan_5386 at 163.com>; Date: 2016年1月26日(星期二) 中午1:59 To: "openstack-zh at lists.openstack.org"<openstack-zh at lists.openstack.org>; Subject: [Openstack-zh] openstack策略相关问题分析 大家好。 最近刚刚接触使用openstack,在这个过程中发现nova策略部分有些问题,诸如 project_id:%(project_id)s这样的规则并没有生效。分析代码发现,鉴权部分没有对虚机所属的projectid进行校验,只对角色进行了校验。 个人认为这可能是个BUG,但是按照官方文档上讲的,这个地方应该不是BUG。不知道是我的理解有问题,还是使用方式有问题,还是确实是个BUG。 请问各位有谁遇到过类似问题,能否给予指导下,谢谢! TracyBin 地址:济南市高新区 -------------- next part -------------- An HTML attachment was scrubbed... URL: <http://lists.openstack.org/pipermail/openstack-zh/attachments/20160127/9cb1e643/attachment.html>