OSSN/OSSN-0032

禁用租户不会禁用用户令牌

当租户在 Keystone 中被禁用时，之前颁发给该租户的令牌不会失效。这可能导致用户在您尝试撤销其访问权限后仍然可以访问您的云。

Keystone, Folsom, Grizzly

Keystone 在禁用租户时不会清除颁发给租户的令牌。在某些情况下，这对云提供商来说可能非常重要。例如，如果云提供商必须因为法律调查而撤销租户的访问权限，即使租户已被禁用，他们仍然有可能终止虚拟机/删除 Swift 文件等。还有许多其他滥用情况。

此问题已在 OpenStack Havana 版本中修复。该修复也已回移植到 OpenStack Grizzly，作为 2013.1.4 Keystone 版本的一部分。

令牌的存储方式取决于您的云部署。如果您使用 Memcached 作为 Keystone 的后端，那么在禁用令牌时刷新缓存可以解决此问题，但代价是其他不再在缓存中的令牌查找需要与 Keystone 交互。

当然，可以编写脚本从任何后端数据库或缓存中删除令牌，但没有“官方”方法来执行此操作。

注意： 刷新 Memcached 可能会导致丢失令牌撤销信息，如 https://bugs.launchpad.net/ossn/+bug/1182920 中所述