4.6. 令牌

Fernet 令牌现在是默认的令牌提供程序。Fernet 是明确设计为在 API 令牌中使用的安全消息传递格式。Fernet 令牌是非持久性（无需持久存于数据库）、轻量级（在 180 到 240 字节）并且减少了运行云所需的操作开销。身份验证和授权元数据捆绑到消息打包的载荷中，然后作为 Fernet 令牌进行加密并签名（在 180 到 240 字节）。

与 UUID、PKI 和 PKIZ 令牌不同，Fernet 令牌不需要持久性。keystone 令牌数据库不再受到身份验证的副作用。在使用 Fernet 令牌时，不再需要从令牌数据库修剪已过期的令牌。由于 Fernet 令牌是非持久性的，因此不必复制它们。只要每个 keystone 节点共享相同的存储库，就可以在节点间立即创建和验证 Fernet 令牌。

与 PKI 和 PKIZ 令牌相比，Fernet 令牌的大小较小；通常保持在 250 字节限值下。对于 PKI 和 PKIZ 令牌，较大的服务目录将导致令牌长度较长。Fernet 令牌没有此模式，因为加密载荷的内容保持为最小值。

有关 Fernet 令牌和轮转 Fernet 密钥的详情，请参考 https://access.redhat.com/documentation/zh-cn/red_hat_openstack_platform/13/html-single/deploy_fernet_on_the_overcloud/。