OpenStack的各个服务组件都有提供相应的API接口，如nova-api，gance-api等等。使用这些 API和扩展可以让用户在OpenStack云中进行一系列的操作，如启动服务主机，创建镜像，给主机和镜像设置元数据，创建容器和对象等等。

但在调用任何组件的API前，必须通过Identity API进行鉴权。

Identity Service

Identity Service 具备的功能：

• Tracking users and their permissions.

• Providing a catalog of available services with their API endpoints

开始我认为是进行用户身份权限验证的服务，但是后来发现它只是进行用户授权。

为了方便管理，它抽象出了一组概念：

User | Credentials | Authentication | Token | Tenant | Service | Endpoint | Role | Keystone Client

具体对这些概念的说明，参见

http://docs.openstack.org/juno/install-guide/install/apt/content/keystone-concepts.html

http://www.cnblogs.com/yuki-lau/archive/2013/01/04/2843918.html

下图是一个权限验证的过程：

OpenStack Identity process flow

1. 用户想要创建一个服务器。首先用户要提供自己的认证信息（可能是用户名和密码，或者是用户名和API key），然后keystone提供一个临时的token和一个服务列表（serviceCatalog）

2. 用户使用临时的token请求他所有的Tenant信息（可以理解为一些资源），keystone返回Tenants 列表。

3. Keystone 提供用户目标Tenant里面的服务列表。用户用自己的鉴权信息获得目标Tenant的token和服务列表，然后使用tenant token和指定服务的endpoint（可以理解为具体的API）信息去启动服务器。

4. 该服务去和keystone验证该token是否正确。

5. Keystone返回这个token的相关信息：用户获得鉴权被允许访问这个服务；token和这个请求相符；token属于这个用户。

6. 服务执行该请求（创建服务器）。

7. 执行完成后返回结果。

OpenStack中调用任何API，在执行请求前都要经过keystone认证，下图说明了keystone和其他各个服务组件的关系：

Keystone在OpenStack中的访问流程

API调用方式

OpenStack提供了多种API调用的方式，参见http://docs.openstack.org/api/quick-start/content/ ，有

cURL

OpenStack命令行客户端

REST客户端

软件开发工具包（SDK）

Identity API

Identity API是一个ReSTful web service，是所有service APIs的入口。要访问Identity API，你必须知道它的URL和访问方式。默认Identity的服务端口为5000，具体可以查询keystone中对各个服务的endpoint的设置。下面介绍一些API的具体内容

请求认证并生成token的API：

method: 'POST'     URL : '/v2.0/tokens'

每个ReST请求需要有X-Auth-Token 作为header。

认证时，需要提供user ID和密码或者是一个token。

如果token过期，会返回一个401

如果是请求中的token过期，会返回404

Identity将过期token视为无效token。

部署时可以指定token的过期时间

正常返回码：200，203

错误返回码：identityFault (400, 500, …), userDisabled (403), badRequest (400), unauthorized (401), forbidden (403), badMethod (405), overLimit (413), serviceUnavailable (503), itemNotFound (404)

所有的API提供json和xml两种格式

可以访问http://developer.openstack.org/api-ref.html 官方文档获取更具体的内容。