keystone的token分类

keystone作为openstack框架中的一部分，主要负责的是身份验证，服务规则和服务令牌的功能。在v3版本中，引入了domain和group的概念，这是基于v3版本来进行学习的。

Token的分类：

unscpoe token：主要是用来获取scope token，它是用户通过身份验证的标识符，是确认唯一的用户。

domain scpoed token：用于操作domian范围内的资源。包括projects和users。

一个project可以属于不同的domain，当确定要对哪个domain中这个project进行操作的时候，就要使用domian scoped token来确定是哪个domian。

project scoped token：用于操作project范围的资源。

当需要对project中的资源进行操作的时候，需要进行project scoped token。

比如对于user身份的验证，在验证成功后，返回的这个unscoed token是表明user的身份，因为只有存在user才可以对他所拥有的资源进行操作，user验证没有通过，哪里来的资源。相当于确认了身份，才可以给你钥匙。

对某个domain中project中的user进行更新，首先要确定是哪个domian，因为这个user可以在不同的domain中，这时需要用到domian scope token，

接着要确定遥操作的这个user是属于哪个project的，因为不同project可以有同一个user，这个时候需要用到project scoped token。

以上是作为新人的我的一些理解，如有错误，敬请谅解，请多指教！