12.4.2. 通过 API 读取镜像签名

假设已签名的镜像已被推送到 OpenShift Container Registry 中，您可以使用以下命令读取签名：

GET /extensions/v2/<namespace>/<name>/signatures/<digest>

$ curl http://<user>:<token>@<registry_endpoint>:5000/extensions/v2/<namespace>/<name>/signatures/sha256:<digest>

<namespace> 代表 OpenShift Container Platform 项目名称或 registry 存储库名称，<name> 代表镜像存储库的名称。摘要（digest）代表镜像的 SHA-256 校验和。

如果给定镜像包含签名数据，则上述命令的输出应生成以下 JSON 响应：

{
  "signatures": [
  {
    "version": 2,
    "type":    "atomic",
    "name":    "sha256:4028782c08eae4a8c9a28bf661c0a8d1c2fc8e19dbaae2b018b21011197e1484@cddeb7006d914716e2728000746a0b23",
    "content": "<cryptographic_signature>"
  }
  ]
}

name 字段包含镜像签名的名称，该名称必须是唯一的，格式为 <digest>@<name>。<digest> 代表镜像名称，<name> 是签名的名称。签名名称长度必须为 32 个字符。<cryptgraph_signature> 必须遵循 容器/镜像库 中记录的规格。