Unser Container-Registry spricht jetzt denselben OAuth-Dialekt wie der Rest der DownToZero (DTZ) Plattform. Wenn Sie bereits Bearer-Tokens für eine beliebige DTZ-API ausstellen, können Sie sich mit keiner zusätzlichen Konfiguration bei cr.dtz.rocks anmelden. Diese Änderung vervollständigt unser langfristiges Ziel von einer Identität, einem Token, überall.
Das Registry akzeptierte ursprünglich nur API-Keys. Obwohl diese Keys weiterhin unterstützt werden, fehlen ihnen die feingranularen Berechtigungen und kurzen Lebensdauern, die OAuth bietet. Ein von dem DTZ-Identitätsservice ausgestelltes JWT enthält Rolleninformationen wie containerregistry/admin/{context_id} und läuft automatisch ab, wodurch der potenzielle Schaden bei einem Leak begrenzt wird.
# 1 - Fordern Sie ein Bearer-Token an
curl -X POST https://identity.dtz.rocks/api/2021-02-21/token/auth -H "Content-Type: application/json" -d '{"username":"you","password":"secret"}'
# 2 - Verwenden Sie dieses Token zur Authentifizierung
docker login cr.dtz.rocks -u bearer -p YOUR_ACCESS_TOKEN
Der Benutzername muss buchstäblich bearer lauten; Docker übermittelt das Token als Passwort. Im Hintergrund validiert das Registry das JWT mit genau derselben Logik wie alle anderen DTZ-Dienste.
Wenn Ihre CI/CD-Pipeline bereits einen API-Key verwendet, funktioniert weiterhin alles wie gewohnt — docker login -u apikey -p YOUR_API_KEY cr.dtz.rocks bleibt gültig. OAuth ist ein optionales Upgrade, das kürzere Lebensdauern der Credentials, rollenbasierte Zugriffskontrolle und reibungslosere Rotation der Secrets ermöglicht.
Da das Registry jetzt genau dieselben HTTP-Header und Basic-Auth-Konventionen wie unsere REST-Endpunkte unterstützt, können Sie:
Bereit, es auszuprobieren? Holen Sie sich ein Token, führen Sie Ihren nächsten docker push aus und genießen Sie einen einfacheren, sichereren Login-Prozess.