roh-j.log https://velog.io/ roh-j@naver.com Sat, 16 Jul 2022 15:34:33 GMT https://validator.w3.org/feed/docs/rss2.html https://github.com/jpmonette/feed Copyright (C) 2019. roh-j.log. All rights reserved. <![CDATA[VNC로 라즈베리파이 4 원격제어하기 (Ubuntu 22.04)]]> https://velog.io/@roh-j/VNC%EB%A1%9C-%EB%9D%BC%EC%A6%88%EB%B2%A0%EB%A6%AC%ED%8C%8C%EC%9D%B4-4-%EC%9B%90%EA%B2%A9%EC%A0%9C%EC%96%B4%ED%95%98%EA%B8%B0-Ubuntu-22.04 https://velog.io/@roh-j/VNC%EB%A1%9C-%EB%9D%BC%EC%A6%88%EB%B2%A0%EB%A6%AC%ED%8C%8C%EC%9D%B4-4-%EC%9B%90%EA%B2%A9%EC%A0%9C%EC%96%B4%ED%95%98%EA%B8%B0-Ubuntu-22.04 Sat, 16 Jul 2022 15:34:33 GMT 1. RealVNC 설치

https://www.realvnc.com/en/connect/download/vnc/

위 링크에서 Raspberry Pi / arm64 를 선택 후 다운로드합니다.

sudo dpkg -i VNC-Server-<버전>-Linux-ARM64.deb

2. RealVNC 실행 오류 해결

설치를 진행하다가 아래와 같은 오류가 발생할 수 있습니다.

오류

Selecting previously unselected package realvnc-vnc-server.
(Reading database ... 188247 files and directories currently installed.)
Preparing to unpack VNC-Server-6.9.1-Linux-ARM64.deb ...
Unpacking realvnc-vnc-server (6.9.1.46706) ...
Setting up realvnc-vnc-server (6.9.1.46706) ...
Updating /etc/pam.d/vncserver
Updating /etc/pam.conf... done

NOTICE: common configuration in /etc/pam.d contains the following modules:
   pam_sss.so
The default vncserver PAM configuration only enables pam_unix. See
`man vncinitconfig' for details on any manual configuration required.

Looking for font path... not found.
/usr/bin/vncserver-x11: error while loading shared libraries: libbcm_host.so.0: cannot open shared object file: No such file or directory
/usr/bin/vncserver-x11: error while loading shared libraries: libbcm_host.so.0: cannot open shared object file: No such file or directory
Installed systemd unit for VNC Server in Service Mode daemon
Start or stop the service with:
  systemctl (start|stop) vncserver-x11-serviced.service
Mark or unmark the service to be started at boot time with:
  systemctl (enable|disable) vncserver-x11-serviced.service

Installed systemd unit for VNC Server in Virtual Mode daemon
Start or stop the service with:
  systemctl (start|stop) vncserver-virtuald.service
Mark or unmark the service to be started at boot time with:
  systemctl (enable|disable) vncserver-virtuald.service

Processing triggers for mailcap (3.70+nmu1ubuntu1) ...
Processing triggers for gnome-menus (3.36.0-1ubuntu3) ...
Processing triggers for desktop-file-utils (0.26-1ubuntu3) ...
Processing triggers for hicolor-icon-theme (0.17-2) ...
Processing triggers for man-db (2.10.2-1) ...
Processing triggers for shared-mime-info (2.1-2) ...

해결법

cd /usr/lib/aarch64-linux-gnu/

sudo ln libvcos.so /usr/lib/libvcos.so.0
sudo ln libvchiq_arm.so /usr/lib/libvchiq_arm.so.0
sudo ln libbcm_host.so /usr/lib/libbcm_host.so.0
sudo nano /etc/gdm3/custom.conf

WaylandEnable=false # 주석을 해제합니다.
sudo systemctl enable vncserver-virtuald.service
sudo systemctl enable vncserver-x11-serviced.service
sudo systemctl start vncserver-virtuald.service
sudo systemctl start vncserver-x11-serviced.service

sudo reboot

3. HDMI가 연결되어 있지 않을 때, VNC 화면이 안뜨는 문제

RealVNC는 화면을 미러링 하는 방식으로, 본체에 디스플레이 출력이 존재해야 정상적으로 VNC 화면이 출력됩니다. 소프트웨어적으로 디스플레이 출력을 만듦으로써 해당 문제를 해결할 수 있습니다.

sudo apt update
sudo apt install xserver-xorg-video-dummy
sudo cp /etc/X11/vncserver-virtual-dummy.conf /etc/X11/xorg.conf
sudo reboot

4. Dummy 디스플레이 추가 후, HDMI 출력이 안될 때

Dummy 디스플레이 설정 이후에는 Dummy 디스플레이로 출력되기 때문에, 다시 HDMI로 디스플레이를 출력하기 위해서는 Dummy 디스플레이 설정을 해제하여야 합니다!

sudo mv /etc/X11/xorg.conf /etc/X11/xorg.conf.dummy
sudo reboot
]]> <![CDATA[세션과 JWT]]> https://velog.io/@roh-j/%EC%84%B8%EC%85%98%EA%B3%BC-JWT https://velog.io/@roh-j/%EC%84%B8%EC%85%98%EA%B3%BC-JWT Sat, 16 Jul 2022 15:29:15 GMT 세션과 JWT

JWT는 세션의 한계를 극복하기 위해 만들어졌습니다. 그렇다면 세션은 무엇이고, 어떠한 한계가 있을까요? 세션과 JWT를 아래와 같은 목차로 알아보도록 하겠습니다.

  1. 세션
  2. Embedded Tomcat의 세션
  3. 세션의 한계와 JWT 탄생
  4. JWT ( +JWT 구조)

1. 세션

HTTP는 클라이언트와 서버의 통신이 독립적으로 이루어집니다. 즉, 이전의 요청에 무관한 응답을 보내는데 이러한 특성 때문에 Stateless한 프로토콜이라고 합니다.

로그인 기능을 구현하기 위해서는 각각의 요청에 대해서 서버가 사용자를 식별할 수 있어야 합니다. 하지만 HTTP의 Stateless 특성으로 인해 사용자를 식별할 수 없습니다. 이를 해결하기 위해 세션이 탄생되었습니다.

2. Embedded Tomcat의 세션

세션은 앞서 설명과 같이 사용자를 식별하기 위해 사용됩니다. Embedded Tomcat이 사용자를 식별하는 과정을 통해 세션이 동작하는 방식을 이해할 수 있습니다.
1. 클라이언트가 인증을 시도한다.
2. 인증된 사용자라면 Embedded Tomcat은 고유한 세션 ID (JSESSIONID)를 클라이언트에게 전달한다.
3. 클라이언트는 JSESSIONID를 쿠키, 로컬 스토리지에 저장한다.
4. 클라이언트는 서버에 요청 시 JSESSIONID를 함께 전달한다.
5. 서버에 저장되어 있는 JSESSIONID와 클라이언트가 보낸 JSESSIONID를 비교해 클라이언트의 상태를 확인한다.

3. 세션의 한계와 JWT 탄생

만약, 여러개의 서버를 증설하면서 로드밸런서를 이용해 트래픽을 분산하였을 경우, 각각 서버는 세션의 정보를 공유하고 있지 않기 때문에 사용자를 식별할 수 없는 문제가 발생합니다.

[트래픽 분산 시 사용자를 식별할 수 없음]

이를 해결하기 위해서는 서버와 공유하고 있는 별도의 세션 저장소를 구축하여야 하는데, 이 때 세션 저장소에 과도한 부하가 발생할 수 있습니다. (세션의 한계) JWT는 이러한 세션의 한계를 극복하고자 탄생되었습니다.

[세션 저장소를 공유함으로써 문제를 해결할 수 있음]

4. JWT

JWT는 매번 저장소에서 사용자의 식별 정보를 조회해야 하는 세션과 달리 별도의 저장소 조회 없이 토큰 그 자체로 인증, 인가를 구현할 수 있습니다. 다시말해 각각의 서버가 하나의 저장소를 공유하지 않아도 자체적으로 사용자를 식별할 수 있습니다.

4.1 JWT 구조

어떻게 JWT는 토큰 그 자체로 인증, 인가를 구현할 수 있을까요? JWT의 구조와 원리를 알아봅시다. JWT는 Header, Payload, Signature 로 구성되어 있습니다.

먼저, Header는 JWT가 어떤 해시 알고리즘으로 토큰을 만들고 있는지에 대한 정보를 담습니다.

  • alg: 해시 알고리즘
  • typ: 토큰의 타입

Payload

그 다음 Payload에 사용자를 식별할 수 있는 정보를 담습니다. Payload에 담겨있는 각각의 정보를 클레임이라 부릅니다. 클레임은 Registered, Public, Private가 있습니다.

Registered 클레임

토큰 자체의 정보를 담는 클레임입니다. Registered 클레임은 이미 정해진 이름이 있으며 모두 Optional입니다.
iss (issuer) 토큰 발급자
sub (subject) 토큰 제목
aud (audience) 토큰 대상자
exp (expiration) 토큰 만료 시간
nbf (Not Before)을 의미하고 정해진 시간에 토큰을 활성화하기 위해 사용합니다.
iat (issued at) 토큰이 발급된 시간
jti (JWT ID) JWT 고유 식별자
public 클레임

토큰의 충돌을 막기 위해 담는 클레임입니다.

Private 클레임

서버와 클라이언트 간의 사용자 식별을 위해 담는 클레임입니다. 정해진 이름이 없으며 서버와 클라이언트간의 약속으로 클레임을 만듭니다.

Signature

Signature는 JWT의 핵심으로 Signature는 부인 방지, 무결성, 사용자 식별을 담당합니다. 이로 인해 인증, 인가를 구현할 수 있습니다.

Signature 원리

JWT 자체로 인증, 인가를 구현할 수 있었던 비밀은 Signature 때문입니다. Signature는 토큰 그 자체로 변조되지 않고 유효한 토큰임을 증명합니다. Signature는 어떻게 동작하는 것일까요?

  1. Header + Payload + 서버만 알고 있는 Secret Key 를 묶어 Header에 선언되어 있는 해시 알고리즘으로 해싱을 진행합니다.
  2. 위에서 해싱된 결과와 JWT Signature를 비교해 일치하는지 확인합니다.
  3. 일치한다면 토큰이 유효합니다.

Signature로 토큰이 유효한지만을 증명합니다. 서버는 Payload에 담겨있는 토큰 발급자, 토큰 대상자, 토큰 만료 시간 등을 최종 확인해 인증, 인가를 합니다.

정리

세션의 어떠한 한계로 인해 JWT가 탄생되었는지 또 JWT는 어떻게 세션의 한계를 극복해 별도의 저장소 없이 유효함을 증명할 수 있었는지에 대해 알아보았습니다. JWT를 이해하는데 많은 도움이 되었으면 합니다.

레퍼런스

]]> <![CDATA[CORS (Cross-Origin Resource Sharing)가 무엇일까?]]> https://velog.io/@roh-j/CORS-Cross-Origin-Resource-Sharing%EA%B0%80-%EB%AC%B4%EC%97%87%EC%9D%BC%EA%B9%8C https://velog.io/@roh-j/CORS-Cross-Origin-Resource-Sharing%EA%B0%80-%EB%AC%B4%EC%97%87%EC%9D%BC%EA%B9%8C Thu, 29 Apr 2021 05:18:27 GMT CORS (Cross-Origin Resource Sharing)

1. CORS 개요

CORS (교차 출처 자원 공유)는 보안 상의 이유로, JavaScript에서 보내는 교차 출처 (자신과 다른 출처) HTTP 요청을 제한하기 위한 정책입니다. 대다수 브라우저에는 CORS가 적용되어 있는데, 이는 자신의 출처와 동일한 리소스만 불러올 수 있도록 하여, 악의적인 자원 접근과 탈취를 막기 위함입니다.

2. CORS 에러

웹을 개발하면서 아래와 같은 에러 메시지를 한번쯤 보셨을 것 같습니다. CORS 에러가 발생하는 이유는 [CORS 개요]에서 소개했듯이, JavaScript 코드 상에서 동일한 출처가 아닌 곳에서 요청을 하였기 때문입니다. 아래의 에러 내용을 살펴보면 "http://localhost:3000 출처에서 보낸 https://www.example.com 의 자원 접근 요청을 CORS 정책에 의해 차단되었습니다." 라는 문구를 확인할 수 있습니다.

Access to fetch at ‘http://www.example.com’ from origin ‘http://localhost:3000’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. If an opaque response serves your needs, set the request’s mode to ‘no-cors’ to fetch the resource with CORS disabled.

/*
 * main.js
 * local에서 main.js가 http://www.example.com에 데이터를 요청함
 * 출처가 다르기 때문에 CORS 에러 발생
 */

$.get("http://www.example.com", function (data) {
  alert("Data Loaded: " + data);
});

3. CORS 동작 과정

CORS는 브라우저에서 이루어집니다. 때문에, 브라우저의 옵션을 수정하면 CORS를 회피할 수 있습니다. 예를 들어, 크롬 브라우저에서 --disable-web-security 옵션을 추가하면 CORS 에러 없이 여러 출처의 리소스에 대해 접근할 수 있습니다.

그렇다면, 브라우저는 어떻게 CORS를 동작하고 있을까요? CORS는 Preflight Request, Simple Request 두 가지 방식으로 동작됩니다. Preflight Request, Simple Request에 대해 한번 알아봅시다.

3.1. Preflight Request

본 요청을 보내기 이전에 보내는 예비 요청을 Preflight라고 부릅니다. Preflight는 HTTP의 OPTIONS 메소드를 이용해 서버에 보내집니다. 이러한 예비 요청을 통해 본 요청을 보내기 전, CORS를 위반하고 있는지를 확인합니다. Preflight에 대한 서버 응답이 안전하다면 브라우저는 본 요청을 서버에 다시 보냅니다.

[그림 1] Preflight Request 동작

3.2. Simple Request

Simple Request (단순 요청)는 Preflight Request 방식과 달리 예비 요청을 보내지 않습니다. 대신 Access-Control-Allow-Origin 헤더를 이용해 CORS 위반 여부를 검사합니다. 클라이언트의 요청에 대해 서버는 Access-Control-Allow-Origin 헤더와 함께 응답합니다. Access-Control-Allow-Origin 헤더에는 CORS 정책이 담겨있고, 브라우저는 Access-Control-Allow-Origin 헤더의 내용을 토대로 정책을 위반했는지 확인합니다. 이상이 없다면 본 요청을 서버에 보냅니다.

[그림 2] Simple Request 동작

4. CORS 해결 방법

CORS는 서버, 클라이언트 한쪽만 의 적용으로 해결할 수 있습니다. 서버, 클라이언트 각각에서 CORS를 처리하는 대표적인 방법 두 가지를 소개합니다. (다만, 서버에서 CORS 정책을 제어하는 것을 권장합니다.)

4.1. @CrossOrigin 어노테이션 이용 (API)

스프링 기준, 스프링 4.2 이상부터 지원되는 @CrossOrigin을 이용하여 CORS 정책을 설정할 수 있습니다. Controller에 어노테이션을 추가하면 적용됩니다.

@CrossOrigin
public class ProjectController {

    @GetMapping(value="/projects/list", produces = "application/hal+json")
    public ResponseEntity<List<Project>> getProjectList(@ModelAttribute KeystoneProject project){
        return ResponseEntity.ok(projectService.getProjectList(project));
    }

}

4.2. 프록시 이용 (Client)

CORS 에러는 근본적으로 자신과 다른 출처에서 HTTP 요청을 하였을 때 발생한다는 점을 기억해 보면, 자신의 출처를 프록싱하면 CORS를 회피할 수 있을 것 같습니다. 클라이언트는 이 같은 아이디어로 CORS 에러를 해결합니다. 프록싱을 통해 자신의 출처를 CORS가 허용되는 출처로 바꿔 HTTP 요청을 하는 것이죠. 프록싱을 하면 최소한의 설정으로 CORS를 회피할 수 있어 개발 시 이용되곤 합니다.

레퍼런스

]]> <![CDATA[VirtualBox를 이용해 OpenStack 설치하기 (네트워크 구성편)]]> https://velog.io/@roh-j/VirtualBox%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%B4-OpenStack-%EC%84%A4%EC%B9%98%ED%95%98%EA%B8%B0-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EA%B5%AC%EC%84%B1%ED%8E%B8 https://velog.io/@roh-j/VirtualBox%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%B4-OpenStack-%EC%84%A4%EC%B9%98%ED%95%98%EA%B8%B0-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EA%B5%AC%EC%84%B1%ED%8E%B8 Tue, 30 Mar 2021 00:59:14 GMT VirtualBox 기본 설정

VirtualBox 다운로드

https://www.virtualbox.org/wiki/Downloads 에서 PC의 OS에 맞는 VirtualBox 설치 파일을 다운로드 받습니다. (본 글은 Ubuntu 18.04 기준으로 설명하며, 설치 과정은 동일합니다!)

VirtualBox 6.1.18 platform packages > Linux distributions 링크를 클릭합니다.

Ubuntu 18.04 / 18.10 / 19.04 링크를 클릭해 설치파일을 다운로드합니다.

VirtualBox 6.1.18 Oracle VM VirtualBox Extension Pack > All supported platforms 링크를 클릭합니다.

VirtualBox 설치 파일과 Extension Pack 파일이 정상적으로 다운로드 되었는지 확인합니다.

VirtualBox 설치

virtualbox-6.1_6.1.18-142142_Ubuntu_bionic_amd64.deb 파일을 설치합니다.

VirtualBox Extension 설치

VirtualBox 메인 화면에서 File > Preferences 를 클릭합니다.

Extensions 탭 클릭 후 Version 우측에 있는 [+] 모양의 아이콘을 클릭합니다.

Oracle_VM_VirtualBox_Extension_Pack-6.1.18.vbox-extpack 파일을 선택합니다.

Install을 진행합니다.

성공적으로 Extension이 추가되었는지 확인합니다.

VirtualBox VM 생성 (Ubuntu 18.04)

Machine > New 클릭합니다.

Name: OpenStack (임의로 작성 가능)
Type: Linux
Version: Ubuntu (64-bit)

으로 설정하고 [Next] 를 클릭합니다.

Memory size는 최소 2 GB 이상 설정을 권장합니다. Memory size를 설정하고 [Next] 를 클릭합니다.

가상 하드 드라이브를 만듭니다.

가상 하드 디스크 파일 타입을 VDI(VirtualBox Disk Image)로 설정하고 [Next]를 클릭합니다.

  • Dynamically allocated (동적 할당)
  • Fixed size (고정 할당)

두가지 방식으로 가상 하드 디스크를 만들 수 있습니다.

동적할당의 경우 실제 사용량 만큼만 파일이 커지기 때문에 호스트 컴퓨터 (VirtualBox가 설치된 컴퓨터) 용량을 낭비없이 효율적으로 사용할 수 있는 장점이 있지만, 고정 크기 방식에 비해 속도가 떨어지는 단점이 있습니다.

가상 하드 디스크의 크기를 입력하고 생성합니다. (최소 8 GB 이상)

Storage > Contoller: IDE IDE Secondary Device 0: [Optical Drive] Empty 를 클릭합니다.

Ubuntu 18.04 Server 이미지를 선택합니다.

VirtualBox 네트워크 설정

VirtualBox Host Network 설정

File > Host Network Manager를 클릭합니다.

새로운 Host Network를 구성하기 위해 Create를 클릭합니다.

IPv4 Address: 192.168.56.1
IPv4 Network Mask: 255.255.255.0

으로 설정합니다.

[참고]

(VirtualBox가 설치되어 있는 호스트 컴퓨터에서 어댑터 정보를 확인해보면 VirtualBox Host-Only Network 어댑터로 IPv4가 192.168.56.1 로 설정되어 있는 것을 확인할 수 있습니다.)

VirtualBox Adapter 설정

OpenStack은 내부 통신을 위한 Internal용 NIC, 외부 통신을 위한 External용 NIC, 최소 2개 이상의 물리 NIC을 필요로 합니다. VirtualBox에서 제공하는 Adapter 설정을 통해 VM에 여러개의 물리 NIC이 연결된 것처럼 구성할 수 있습니다.

[VirtualBox Adapter]
Adapter1: 내부 통신용 NIC
Adapter2: 외부 통신용 NIC (Bridge)
Adapter3: NAT
[Ubuntu]
enp0s3: (host-only) Internal
(Adapter1이 Ubuntu VM에서 enp0s3로 설정됨)

enp0s8: (Bridge) External
(Adapter2가 Ubuntu VM에서 enp0s8로 설정됨)

enp0s9: (NAT)
(Adapter3가 Ubuntu VM에서 enp0s9로 설정됨)

Name: Host Network Manager에서 만들었던 설정 이름으로 선택합니다. Promiscuous Mode: Allow All로 설정합니다.

Promiscuous Mode: Allow All로 설정합니다.

]]> <![CDATA[OpenStack Horizon은 어떻게 사용자를 인증할까?]]> https://velog.io/@roh-j/OpenStack-Horizon%EC%9D%80-%EC%96%B4%EB%96%BB%EA%B2%8C-%EC%82%AC%EC%9A%A9%EC%9E%90%EB%A5%BC-%EC%9D%B8%EC%A6%9D%ED%95%A0%EA%B9%8C https://velog.io/@roh-j/OpenStack-Horizon%EC%9D%80-%EC%96%B4%EB%96%BB%EA%B2%8C-%EC%82%AC%EC%9A%A9%EC%9E%90%EB%A5%BC-%EC%9D%B8%EC%A6%9D%ED%95%A0%EA%B9%8C Thu, 18 Feb 2021 14:11:23 GMT Horizon은 클라우드 관리자와 사용자들이 다양한 OpenStack 자원과 서비스를 관리할 수 있는 웹 인터페이스입니다. OpenStack Horizon은 어떻게 사용자를 인증, 인가하고 Keystone과 연동할까요? 이에 대한 과정을 시퀀스 다이어그램과 코드를 통해 알아봅시다.

OpenStack Horizon 인증 과정 요약

과정
1. Horizon은 Django의 인증 로직을 커스터마이징하여 Keystone과 연동한다.
2. Keystone에서는 크게 2가지 유형의 토큰을 발급한다. (Unscoped 토큰, Scoped 토큰)
3. Unscoped 토큰은 Keystone이 인증된 사용자에 대해 발급하는 신분 증명용 토큰으로 Scoped 토큰을 발급받기 위해 사용된다.
4. Scoped 토큰을 발급받는 이유는 Unscoped 토큰만으로는 서비스(e.g. Nova)에 요청할 수 없기 때문이다.
5. Scoped 토큰은 클라이언트(e.g. 유저, Nova, Glance)가 실행할 수 있는 범위가 담겨있는 토큰으로 서비스(e.g. Nova)에 요청할 수 있다.
6. 결국, Keystone 연동에서의 핵심은 Scoped 토큰을 발급받는 것이다.
7. 사용자가 인증되면 Horizon은 Unscoped 토큰을 세션에 저장한다. (추후 Scoped 토큰을 발급 받기 위해)
8. 세션에 저장된 Unscoped 토큰을 이용해 Scoped 토큰을 발급 받는다.
9. 발급 받은 Scoped 토큰과 함께 서비스(e.g. Nova)에 요청한다.

사용자 로그인 (시퀀스 다이어그램)

Horizon은 Django 인증 시스템을 통해 사용자를 인증합니다. Keystone과 연동하기 위해 Custom 인증이 추가되어 있는데, 이를 settings.pyAUTHENTICATION_BACKENDS 옵션을 통해 확인할 수 있습니다. Custom 인증의 핵심은 Keystone에서 Unscoped 토큰을 발급받는 것으로, openstack_auth.backend.KeystoneBackend 모듈에서 진행합니다. Unscoped 토큰이 성공적으로 발급되면 해당 토큰을 Django Session에 저장합니다.

Unscoped 토큰:

  • Keystone이 인증된 사용자에 대해 발급하는 신분 증명용 토큰
  • Scoped 토큰을 발급받기 위해 사용
  • 서비스(e.g. Nova)에 요청 할 수 없음

Scoped 토큰:

  • 클라이언트(e.g. 유저, Nova, Glance)가 실행할 수 있는 범위가 담겨있는 토큰
  • 범위 내의 서비스(e.g. Nova)에 요청 할 수 있음

아래는 이러한 사용자 로그인 과정을 시퀀스 다이어그램으로 표현하였습니다.

[그림 1] 사용자 로그인 시퀀스 다이어그램

코드로 알아보자

[그림 2] Horizon 콘솔 로그인

Horizon 콘솔에서 User Name과 Password를 입력하고 [Sign In] 버튼을 누르면

[그림 3] POST 파라미터

POST Method로 파라미터와 함께 http://localhost/auth/login URL을 요청합니다.

Horizon (Back-end)

horizon/openstack_auth/urls.py

urlpatterns = [
  url(r"^login/$", views.login, name='login'),

  ...

]

horizon/openstack_dashboard/settings.py

AUTHENTICATION_BACKENDS = ('openstack_auth.backend.KeystoneBackend',)

AUTHENTICATION_BACKENDS 옵션을 통해 Django 인증 로직을 커스터마이징할 수 있습니다.

horizon/openstack_auth/views.py

from django.contrib.auth import views as django_auth_views

...

@sensitive_post_parameters()
@csrf_protect
@never_cache
def login(request):

  ...

  try:
    res = django_auth_views.LoginView.as_view(
      template_name=template_name,
      redirect_field_name=auth.REDIRECT_FIELD_NAME,
      form_class=form,
      extra_context=extra_context,
      redirect_authenticated_user=False)(request)
  except exceptions.KeystonePassExpiredException as exc:
    res = django_http.HttpResponseRedirect(
      reverse('password', args=[exc.user_id]))
    msg = _("Your password has expired. Please set a new password.")
    res.set_cookie('logout_reason', msg, max_age=10)

django_auth_views.LoginView.as_view() 를 호출하면 사용자 인증 화면이 표시됩니다. 그 후, 사용자가 작성한 Form을 Submit 하게되면 Django 인증 시스템이 실행됩니다. (AUTHENTICATION_BACKENDS 옵션에 따라 Custom 인증인 openstack_auth.backend.KeystoneBackend 모듈을 호출) openstack_auth.backend.KeystoneBackend 모듈의 핵심은 Unscoped 토큰을 Keystone에게서 발급 받는 것으로, 모듈이 호출되면 Unscoped 토큰 발급 요청을 진행합니다.

horizon/openstack_auth/backend.py

# TODO(stephenfin): Subclass 'django.contrib.auth.backends.BaseBackend' once we
# (only) support Django 3.0
class KeystoneBackend(object):
  """Django authentication backend for use with ``django.contrib.auth``."""

  ...

  def authenticate(self, request, auth_url=None, **kwargs):
    """Authenticates a user via the Keystone Identity API."""
    LOG.debug('Beginning user authentication')

    if not auth_url:
      auth_url = settings.OPENSTACK_KEYSTONE_URL

    auth_url, url_fixed = utils.fix_auth_url_version_prefix(auth_url)
    if url_fixed:
      LOG.warning("The OPENSTACK_KEYSTONE_URL setting points to a v2.0 "
                  "Keystone endpoint, but v3 is specified as the API "
                  "version to use by Horizon. Using v3 endpoint for "
                  "authentication.")

    plugin, unscoped_auth = self._get_auth_backend(auth_url, **kwargs)

    ...

Custom 인증 모듈의 클래스에는 authenticate 메서드가 있어야 합니다. Django 인증 시스템이 Custom 인증을 실행할 때 authenticate 메서드를 호출합니다.

토큰 발급과 관련된 모듈은 2개로 아래와 같습니다.

keystoneauth1:

  • OpenStack 기반 클라우드 인증을 위한 도구
  • 오픈스택 인증 플러그인 포함 (password, token, and federation based)
  • 클라이언트의 설정을 세션으로 유지하면서 요청할 수 있도록 함. (based on the requests Python library)

keystoneclient:

  • Keystone API의 클라이언트 (CLI로 Keystone을 이용할 수 있음)

horizon/openstack_auth/backend.py

from openstackit.openstack_auth import user as auth_user

...

# TODO(stephenfin): Subclass 'django.contrib.auth.backends.BaseBackend' once we
# (only) support Django 3.0
class KeystoneBackend(object):
  """Django authentication backend for use with ``django.contrib.auth``."""

  ...

  def authenticate(self, request, auth_url=None, **kwargs):

    ...

    # If we made it here we succeeded. Create our User!
    unscoped_token = unscoped_auth_ref.auth_token

    user = auth_user.create_user_from_token(
        request,
        auth_user.Token(scoped_auth_ref, unscoped_token=unscoped_token),
        endpoint,
        services_region=region_name)

    if request is not None:
      # if no k2k providers exist then the function returns quickly
      utils.store_initial_k2k_session(auth_url, request, scoped_auth_ref,
                                      unscoped_auth_ref)
      request.session['unscoped_token'] = unscoped_token
      if domain_auth_ref:
        # check django session engine, if using cookies, this will not
        # work, as it will overflow the cookie so don't add domain
        # scoped token to the session and put error in the log
        if utils.using_cookie_backed_sessions():
          LOG.error('Using signed cookies as SESSION_ENGINE with '
                    'OPENSTACK_KEYSTONE_MULTIDOMAIN_SUPPORT is '
                    'enabled. This disables the ability to '
                    'perform identity operations due to cookie size '
                    'constraints.')
        else:
          request.session['domain_token'] = domain_auth_ref

      request.user = user

      ...

horizon/openstack_auth/plugin/base.py

def get_access_info(self, keystone_auth):
  """Get the access info from an unscoped auth

  This function provides the base functionality that the
  plugins will use to authenticate and get the access info object.

  :param keystone_auth: keystoneauth1 identity plugin
  :raises: exceptions.KeystoneAuthException on auth failure
  :returns: keystoneclient.access.AccessInfo
  """
  session = utils.get_session()

  try:
    unscoped_auth_ref = keystone_auth.get_access(session)
  except keystone_exceptions.ConnectFailure as exc:
    LOG.error(str(exc))
    msg = _('Unable to establish connection to keystone endpoint.')
    raise exceptions.KeystoneConnectionException(msg)
  except (keystone_exceptions.Unauthorized,
          keystone_exceptions.Forbidden,
          keystone_exceptions.NotFound) as exc:
    msg = str(exc)
    LOG.debug(msg)
    match = re.match(r"The password is expired and needs to be changed"
                      r" for user: ([^.]*)[.].*", msg)
    if match:
        exc = exceptions.KeystonePassExpiredException(
            _('Password expired.'))
        exc.user_id = match.group(1)
        raise exc
    msg = _('Invalid credentials.')
    raise exceptions.KeystoneCredentialsException(msg)
  except (keystone_exceptions.ClientException,
          keystone_exceptions.AuthorizationFailure) as exc:
    msg = _("An error occurred authenticating. "
            "Please try again later.")
    LOG.debug(str(exc))
    raise exceptions.KeystoneAuthException(msg)
  return unscoped_auth_ref

User 인스턴스를 생성하는지에 따라 Django 인증 시스템이 인증 완료 여부를 판단합니다. 즉, 인증 로직이 성공적으로 끝났다면 User 인스턴스를 생성해 Django에게 사용자가 인증되었음을 알려주어야 합니다. Horizon은 Unscoped 토큰 발급이 성공적으로 이루어지면 auth_user.create_user_from_token() 함수를 호출해 User 인스턴스를 생성합니다. 그리고 만들어진 User 인스턴스를 request.user에 저장합니다. (Unscoped 토큰은 request.session['unscoped_token'] = unscoped_token 코드에 의해 Session에 저장)

horizon/openstack_auth/user.py

def create_user_from_token(request, token, endpoint, services_region=None):
  # if the region is provided, use that, otherwise use the preferred region
  svc_region = services_region or \
    utils.default_services_region(token.serviceCatalog, request, endpoint)
  return User(id=token.user['id'],
              token=token,
              user=token.user['name'],
              password_expires_at=token.user['password_expires_at'],
              user_domain_id=token.user_domain_id,
              # We need to consider already logged-in users with an old
              # version of Token without user_domain_name.
              user_domain_name=getattr(token, 'user_domain_name', None),
              project_id=token.project['id'],
              project_name=token.project['name'],
              domain_id=token.domain['id'],
              domain_name=token.domain['name'],
              enabled=True,
              service_catalog=token.serviceCatalog,
              roles=token.roles,
              endpoint=endpoint,
              services_region=svc_region,
              is_federated=getattr(token, 'is_federated', False),
              unscoped_token=getattr(token, 'unscoped_token',
                                    request.session.get('unscoped_token')))

create_user_from_token() 함수는 User 인스턴스를 생성해 Return 합니다.

[그림 4] token 파라미터 값 (openstackit.openstack_auth.user.Token 자료형)

horizon/openstack_auth/views.py

from openstack_auth import user as auth_user

...

@sensitive_post_parameters()
@csrf_protect
@never_cache
def login(request, template_name=None, extra_context=None, **kwargs):

  ...

  # Set the session data here because django's session key rotation
  # will erase it if we set it earlier.
  if request.user.is_authenticated:
    auth_user.set_session_from_user(request, request.user)
    regions = dict(forms.get_region_choices())
    region = request.user.endpoint
    login_region = request.POST.get('region')
    region_name = regions.get(login_region)
    request.session['region_endpoint'] = region
    request.session['region_name'] = region_name
    expiration_time = request.user.time_until_expiration()
    threshold_days = settings.PASSWORD_EXPIRES_WARNING_THRESHOLD_DAYS
    if (expiration_time is not None and
          expiration_time.days <= threshold_days and
          expiration_time > datetime.timedelta(0)):
      expiration_time = str(expiration_time).rsplit(':', 1)[0]
      msg = (_('Please consider changing your password, it will expire'
               ' in %s minutes') %
            expiration_time).replace(':', ' Hours and ')
      messages.warning(request, msg)

Custom 인증이 완료되면 다시, horizon/openstack_auth/views.py 로 돌아옵니다. 그리고 여기에서 token, user_id, region_endpoint, services_region을 추가적으로 Session에 저장합니다.

horizon/openstack_auth/user.py

...

def set_session_from_user(request, user):
  request.session['token'] = user.token
  request.session['user_id'] = user.id
  request.session['region_endpoint'] = user.endpoint
  request.session['services_region'] = user.services_region
  # Update the user object cached in the request
  request._cached_user = user
  request.user = user

[그림 5] session_data 컬럼에 base64로 인코딩 되어 저장

로그인 후, 서비스 요청 (시퀀스 다이어그램)

Unscoped 토큰은 신분만 증명할 뿐, 서비스(e.g. Nova)에 서비스를 요청할 수 없습니다. 다시말해, 서비스를 요청하기 위해서는 endpoint와 범위가 지정되어 있는 Scoped 토큰이 필요합니다. Horizon은 Scoped 토큰을 얻기 위해 Session에 저장되어 있는 Unscoped 토큰으로 Keystone에게 Scoped 토큰을 요청합니다. Unscoped 토큰이 검증되어 Scoped 토큰이 성공적으로 발급되면 서비스를 요청할 수 있는 권한이 부여됩니다. 다시, Horizon은 서비스 요청 내용과 Scoped 토큰을 함께 서비스에게 보냅니다.

An unscoped token contains neither a service catalog, any roles, a project scope, nor a domain scope. Their primary use case is simply to prove your identity to keystone at a later time (usually to generate scoped tokens), without repeatedly presenting your original credentials.

이후, 서비스는 Horizon이 보내온 Scoped 토큰을 검증하기 위해 Keystone에게 검증 의뢰를 합니다. 토큰 검증에 문제가 없다면 사용자의 서비스 요청을 실행합니다. 요청이 완료되면 그 결과를 사용자에게 보고합니다.

아래는 로그인 후, 서비스 요청 과정에 대한 다이어그램입니다.

[그림 6] 로그인 후, 서비스 요청 시퀀스 다이어그램

Django Session

Session 기반 인증에서 Session 저장소의 위치는 중요한 이슈사항이 됩니다. 로드밸런서에 의해 트래픽이 분산되는 환경일 때, 서버 각각 Session 저장소를 분리되어 있으면 Session의 정보를 공유하고 있지 않아 사용자를 식별할 수 없는 문제가 발생됩니다.

[그림 7] 노드 각각 Session 저장소를 분리할 경우, 트래픽 분산 시 사용자를 식별할 수 없음

때문에, Django Session은 기본 설정으로 한 곳의 데이터베이스에 Session 정보를 저장하도록 되어 있습니다.

[그림 8] Django Session은 한 곳의 데이터베이스에 Session 정보를 저장 (Session의 정보를 공유하고 있기에 사용자 식별이 유지됨)

[그림 9] horizon 데이터베이스에 django_session 테이블에 저장

[그림 10] 쿠키에 저장되는 sessionid

클라이언트는 sessionid를 쿠키로 저장합니다. 그리고 서버 요청 시 쿠키에 저장된 sessionid와 함께 보내, 서버가 사용자를 식별할 수 있도록 합니다. 만약, sessionid Name을 가진 쿠키를 지우게 되면 서버는 사용자를 식별할 수 없어 로그인이 풀리게 됩니다.

다만, 로그아웃과 달리 세션 정보를 지운 것이 아니기 때문에 예전 sessionid 값을 다시 쿠키에 담아 요청하면 다시 로그인을 유지할 수 있습니다. 아래는 이에 대한 시나리오입니다.

- 쿠키를 제거하고 새로고침

사용자를 식별할 수 없어 로그인이 풀림.

- 쿠키를 이전 값으로 설정하고 새로고침

{
  Name: sessionid
  Value: yoho40qgmc9ivjy25yua78tu5pp7vpt8
  Expires / Max-Age: 2021-02-17T08:00:20.116Z
}

인증이 유지됨.

참고 사항

sessionid 값을 다시 쿠키에 담고 새로고침할 때 URL이 중요합니다.

http://localhost/auth/login/ 의 URL에서는 성공적으로 인증이 이루어지지만,

http://localhost/auth/login/?next=/project/ next 쿼리 스트링이 존재하면 에러를 발생시킵니다.

base64로 디코딩한 Session 정보

1ef052cd5f350f2437dc34bc3026fc722b98ffb1:�}q(Uunscoped_tokenU�gAAAAABgLMgIMtPsvMIBf4vH7kapIzHVaWItsBMFjRb4TAkKgr4rVPUhVXCG6YPkDp5OuRUHlVBcDtPEUv3cpaQgjefoM5Y4zCs__6myyolZ-COyoJaFDKykgQ_F5oo7cN74J9DteTMiQio298r5O-23JeYTfdZWBgqUuser_idX 2d9eb8b0ca4f4abc8bfb74cbf8ae5238qU
region_namecdjango.utils.functional
_lazy_proxy_unpickle
q(cdjango.utils.translation
ugettext
qUDefault Region�q}qc__builtin__
unicode
_auth_user_idhUregion_endpointXttp://172.16.0.250:5000/v3q
Uservices_regionX       RegionOneq
U
usage_startU
2021-02-16U_auth_user_backendU&openstack_auth.backend.KeystoneBackendU  usage_endU
2021-02-17Utokencopenstack_auth.user
Token
q
}q(Uunscoped_tokenqhUdomainq}q(UidqNUnameqNuUserviceCatalogq]q(}q(X     endpointsq]q(}q(XurlqXhttp://172.16.0.250:8042X interfaceqXttp://210.207.104.171:8042hXhttp://172.16.0.250:8042hX<http://172.16.0.250:8776/v2/273795270dc5449baf47b1dfbca19170hX?http://210.207.104.171:8776/v2/3b7d443449b64cf89e4d37a20b04a407hX<http://172.16.0.250:8776/v2/273795270dc5449baf47b1dfbca19170hXhttp://172.16.0.250:9292hXhttp://172.16.0.250:9292hXttp://210.207.104.171:9292hX?http://210.207.104.171:8774/v2/3b7d443449b64cf89e4d37a20b04a407hX<http://172.16.0.250:8774/v2/273795270dc5449baf47b1dfbca19170hX<http://172.16.0.250:8774/v2/273795270dc5449baf47b1dfbca19170hXhttp://172.16.0.250:9876hXttp://210.207.104.171:9876hXhttp://172.16.0.250:9876hX>http://172.16.0.250:8774/v2.1/273795270dc5449baf47b1dfbca19170hXAhttp://210.207.104.171:8774/v2.1/3b7d443449b64cf89e4d37a20b04a407hX>http://172.16.0.250:8774/v2.1/273795270dc5449baf47b1dfbca19170hXhttp://172.16.0.250:9696hXhttp://172.16.0.250:9696hXttp://210.207.104.171:9696hXhttp://192.168.140.250:35357hXttp://210.207.104.171:5000hXhttp://172.16.0.250:5000hX?http://210.207.104.171:8004/v1/3b7d443449b64cf89e4d37a20b04a407hX<http://172.16.0.250:8004/v1/273795270dc5449baf47b1dfbca19170hX<http://172.16.0.250:8004/v1/273795270dc5449baf47b1dfbca19170hXttp://210.207.104.171:8041hXhttp://172.16.0.250:8041hXhttp://172.16.0.250:8041hXttp://210.207.104.171:8082hXhttp://172.16.0.250:8082hXhttp://172.16.0.250:8082hXhttp://172.16.0.250:8780hXhttp://172.16.0.250:8780hXttp://210.207.104.171:8780hXhttp://210.207.104.171:8000/v1hXttp://172.16.0.250:8000/v1hXttp://172.16.0.250:8000/v1hX<http://172.16.0.250:8776/v3/273795270dc5449baf47b1dfbca19170hX?http://210.207.104.171:8776/v3/3b7d443449b64cf89e4d37a20b04a407hX<http://172.16.0.250:8776/v3/273795270dc5449baf47b1dfbca19170h&0ciso8601.iso8601
Utc
qo)Rqp�RqqU
is_federatedqr�Uprojectqs}qt(hXhhjangquU     domain_idXdefaultUis_admin_project�hX 273795270dc5449baf47b1dfbca19170qvuUuserqw}qx(Upassword_expires_atNhhhXadminqyuUidqzU�gAAAAABgLMgI5Ms6zzPhNZkJcK1yTR32aIjKYCBeNhA2aIMnc6R4350OFmUP5WmKO83KI45-Uh_mUBMRmHzoTHJ9x-B8kaq_mmS0hEKFzuRXRniDvnavIPLV8BOlRJGuEItrEK-WGWs4XDJ_SunDXgazWKPAipOWZqPTLKP2hgY413HvLi8I86buGyDYnFQP25WRygWu1UHvUtenantq{htubX_session_expiryMU_auth_user_hashU(506d93b80b3981000edb8e3e0552d17645989327u.

base64로 디코딩한 Session 정보를 확인해보면 unscoped_token 값이 저장되어 있는 것을 확인할 수 있습니다.

로그아웃

로그아웃 역시 Django 인증 시스템을 이용합니다. logout_then_login() 은 로그아웃 후 다시 로그인 페이지로 이동시키는 django.contrib.auth.views 모듈의 함수이며 Session 정보를 데이터베이스에서 삭제합니다. 여기서 중요한 점은, Session에 저장되어 있던 Unscoped 토큰은 무효화 처리하지 않는다는 점입니다. (로그아웃 시 Unscoped 토큰을 무효화한 후 세션 정보를 지우는 것이 아니라 단순히 세션 정보를 DB에서 삭제)

horizon/openstack_auth/views.py

def logout(request, login_url=None, **kwargs):
  """Logs out the user if he is logged in. Then redirects to the log-in page.

  :param login_url:
      Once logged out, defines the URL where to redirect after login

  :param kwargs:
      see django.contrib.auth.views.logout_then_login extra parameters.

  """
  msg = 'Logging out user "%(username)s".' % \
      {'username': request.user.username}
  LOG.info(msg)

  """ Securely logs a user out. """
  if (utils.is_websso_enabled and utils.is_websso_default_redirect() and
        utils.get_websso_default_redirect_logout()):
    auth_user.unset_session_user_variables(request)
    return django_http.HttpResponseRedirect(
        utils.get_websso_default_redirect_logout())
  else:
    return django_auth_views.logout_then_login(request,
                                                login_url=login_url,
                                                **kwargs)

레퍼런스

]]>