Nuestro registro de contenedores ahora habla el mismo dialecto OAuth que el resto de la plataforma DownToZero (DTZ). Si ya generas tokens bearer para cualquier API de DTZ, puedes iniciar sesión en cr.dtz.rocks con cero configuración adicional. Este cambio completa nuestro objetivo a largo plazo de una identidad, un token, en todas partes.
El registro originalmente aceptaba solo claves API. Aunque estas claves siguen siendo compatibles, carecen de los ámbitos detallados y la corta duración que ofrece OAuth. Un JWT emitido por el servicio de Identidad DTZ lleva información de rol como containerregistry/admin/{context_id} y expira automáticamente, reduciendo el radio de impacto si alguna vez se filtra.
# 1 - Solicitar un token bearer
curl -X POST https://identity.dtz.rocks/api/2021-02-21/token/auth -H "Content-Type: application/json" -d '{"username":"you","password":"secret"}'
# 2 - Usar ese token para autenticar
docker login cr.dtz.rocks -u bearer -p YOUR_ACCESS_TOKEN
El nombre de usuario debe ser literalmente bearer; Docker envía el token como contraseña. Detrás de escena, el registro valida el JWT usando la misma lógica que cualquier otro servicio DTZ.
Si tu pipeline CI/CD ya usa una clave API, nada se rompe — docker login -u apikey -p YOUR_API_KEY cr.dtz.rocks sigue funcionando. OAuth es una actualización opcional que desbloquea credenciales de duración más corta, control de acceso basado en roles y una rotación de secretos más fluida.
Debido a que el registro ahora respeta los mismos encabezados HTTP y convenciones de basic-auth que nuestros endpoints REST, puedes:
¿Listo para probarlo? Obtén un token, ejecuta tu próximo docker push y disfruta de un flujo de autenticación más simple y seguro.