声明:本文转载自https://my.oschina.net/sumier/blog/1820680,转载目的在于传递更多信息,仅供学习交流之用。如有侵权行为,请联系我,我会及时删除。
近期在研究Fabric CA 创建用户,的时候发现很多隐含规则
通过官方文档,我们知道 fabric-ca 可以带有如下几个以hf.开头的属性,我们暂且称之为系统属性
| Name | Type | Description |
|---|---|---|
| hf.Registrar.Roles | List | List of roles that the registrar is allowed to manage |
| hf.Registrar.DelegateRoles | List | List of roles that the registrar is allowed to give to a registree for its ‘hf.Registrar.Roles’ attribute |
| hf.Registrar.Attributes | List | List of attributes that registrar is allowed to register |
| hf.GenCRL | Boolean | Identity is able to generate CRL if attribute value is true |
| hf.Revoker | Boolean | Identity is able to revoke a user and/or certificates if attribute value is true |
| hf.AffiliationMgr | Boolean | Identity is able to manage affiliations if attribute value is true |
| hf.IntermediateCA | Boolean | Identity is able to enroll as an intermediate CA if attribute value is true |
首先,我们用admin创建账户test_a,
命令如下:
fabric-ca-client register -d \ --id.name test_a \ --id.secret test_a_pw \ --id.type client \ --id.affiliation easypay.fabric \ --id.attrs '"hf.Registrar.Roles=client,user"' \ --id.attrs '"hf.Registrar.DelegateRoles=client,user"' \ --id.attrs '"hf.Registrar.Attributes=*"' \ --id.attrs hf.Revoker=true \ --id.attrs hf.AffiliationMgr=true \ --id.attrs hf.IntermediateCA=true \ --id.attrs hf.GenCRL=false 即,设置test_a用户hf.GenCRL=false,结果如下:
然后我们尝试用test_a账户分别创建以下几个账户(注意是用test_a账户,而不是admin账户)
hf.GenCRL=true:fabric-ca-client register -d \ --id.name test_a_a \ --id.secret test_a_a_pw \ --id.type client \ --id.affiliation easypay.fabric \ --id.attrs '"hf.Registrar.Roles=client,user"' \ --id.attrs '"hf.Registrar.DelegateRoles=client,user"' \ --id.attrs '"hf.Registrar.Attributes=*"' \ --id.attrs hf.Revoker=true \ --id.attrs hf.AffiliationMgr=true \ --id.attrs hf.IntermediateCA=true \ --id.attrs hf.GenCRL=true 结果创建失败,会报权限错误,如下所示:
hf.GenCRL=false:fabric-ca-client register -d \ --id.name test_a_b \ --id.secret test_a_b_pw \ --id.type client \ --id.affiliation easypay.fabric \ --id.attrs '"hf.Registrar.Roles=client,user"' \ --id.attrs '"hf.Registrar.DelegateRoles=client,user"' \ --id.attrs '"hf.Registrar.Attributes=*"' \ --id.attrs hf.Revoker=true \ --id.attrs hf.AffiliationMgr=true \ --id.attrs hf.IntermediateCA=true \ --id.attrs hf.GenCRL=false 结果同上:
hf.GenCRL属性:fabric-ca-client register -d \ --id.name test_a_c \ --id.secret test_a_c_pw \ --id.type client \ --id.affiliation easypay.fabric \ --id.attrs '"hf.Registrar.Roles=client,user"' \ --id.attrs '"hf.Registrar.DelegateRoles=client,user"' \ --id.attrs '"hf.Registrar.Attributes=*"' \ --id.attrs hf.Revoker=true \ --id.attrs hf.AffiliationMgr=true \ --id.attrs hf.IntermediateCA=true 结果创建成功,如下:
其他几个布尔类型属性,hf.Revoker,hf.AffiliationMgr,hf.IntermediateCA,都有类似现象,即,上级id这些布尔属性如果设置为false(或者不设置),则所创建是下级id都不能带有对应的这个几个布尔类型的系统属性
hf.Registrar.Roles的约束刚才创建的test_a身份,id.type=client,hf.Registrar.Roles=client,user, 如果我们用test_a注册一个id.type=peer或者id.type=orderer的身份 结果会怎样呢?大家应该都想得到,肯定是失败,这里我就不做测试了
备注:fabric-ca 1.1 版本 hf.Registrar.Roles 属性只支持client,user,peer,orderer四种,1.2版本即将支持自定义角色,详见:https:/jira.hyperledger.org/browseFAB-7882
相关资料截图:
用 test_a 用户创建一个 test_a_d身份,设置test_a_d属性hf.Registrar.Roles=client,user,peer ,如下:
fabric-ca-client register -d \ --id.name test_a_d \ --id.secret test_a_d_pw \ --id.type client \ --id.affiliation easypay.fabric \ --id.attrs '"hf.Registrar.Roles=client,user,peer"' \ --id.attrs '"hf.Registrar.DelegateRoles=client,user,peer"' \ --id.attrs '"hf.Registrar.Attributes=*"' \ --id.attrs hf.Revoker=true \ --id.attrs hf.AffiliationMgr=true \ --id.attrs hf.IntermediateCA=true 结果创建失败,如下:
可以继续往下测试,可以发现,当test_a身份的属性hf.Registrar.Roles=client,user ,往下用test_a身份创建的子身份的f.Registrar.Roles属性值都不能超过client,user的范围
再用 test_a 用户创建一个 test_a_e身份,设置test_a_e 属性id.type=peer ,如下:
fabric-ca-client register -d \ --id.name test_a_e \ --id.secret test_a_e_pw \ --id.type peer \ --id.affiliation easypay.fabric \ --id.attrs '"hf.Registrar.Roles=client,user"' \ --id.attrs '"hf.Registrar.DelegateRoles=client,user"' \ --id.attrs '"hf.Registrar.Attributes=*"' \ --id.attrs hf.Revoker=true \ --id.attrs hf.AffiliationMgr=true \ --id.attrs hf.IntermediateCA=true 结果创建失败,错误信息如下:
子 id 的id.type属性值也受到上级id的hf.Registrar.Roles属性值的约束
hf.Registrar.Attributes 属性的约束尝试用 admin 身份 创建 test_b ,添加hf.key=value
fabric-ca-client register -d \ --id.name test_b \ --id.secret test_b_pw \ --id.type client \ --id.attrs hf.key=value 即使admin身份hf.Registrar.Attributes=*,还是创建失败,结果如图
再尝试用 admin 身份 创建 test_c,添加hf=value
fabric-ca-client register -d \ --id.name test_c \ --id.secret test_c_pw \ --id.type client \ --id.attrs hf=value 创建成功,结果如图
总结下来,有以下几点规律:
上级id的hf.Registrar.Attributes值可以约束它所创建的子级id能添加的属性,但是带hf.的除外,带hf.开头的会被当做系统属性,区别对待
从上级往下,所带的属性约束只能是逐渐收敛的,不能发散
感兴趣可以详细研究一下源代码 相关部分代码可以参见:https://github.com/hyperledger/fabric-ca/blob/release-1.1/lib/attr/attribute.go
本文发表于2018年05月29日 20:00
(c)注:本文转载自https://my.oschina.net/sumier/blog/1820680,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除.
阅读 1983 讨论 0 喜欢 0
避坑!MotionGo就是一款诈骗软件!千万不要用ChatPPT,浪费时间!
宝塔面板使用WWW用户执行计划任务命令 解决laravel日志权限问题 宝塔设置计划任务执行用户
手机微信一键制作透明底文字表情 教你如何让微信表情包背景为透明 自制微信表情包动图 文字表情在线制作
ssh目录权限配置指南 .ssh文件夹及rsa_id.pub等文件正确权限规则
Mac连接亚马逊AWS EC2 远程连接登录不上去 有pem私钥文件依然要输密码 默认密码 教程
PHP工程师必知必会 - Linux系统常用命令 - Linux中的网络管理命令(下)
| 抢先体验 |
|---|
扫码体验 |
| 闪念胶囊 |
|---|
|
你要过得好哇,这样我才能恨你啊,你要是过得不好,我都不知道该恨你还是拥抱你啊。 17:21 2021年04月19日 查看详情 |
|
直抵黄龙府,与诸君痛饮尔。 18:17 2021年03月28日 查看详情 |
|
那时陪伴我的人啊,你们如今在何方。 16:28 2021年03月19日 查看详情 |
|
不出意外的话,我们再也不会见了,祝你前程似锦。 18:05 2021年03月17日 查看详情 |
|
这世界真好,吃野东西也要留出这条命来看看 21:21 2021年03月14日 查看详情 |
| Contact |
|---|
Y2lvbkBjaGluYWNpb24uY24= |