文档首页 > > API参考> API> Token管理>

获取IAM用户Token（使用密码）

查看PDF

编辑

获取IAM用户Token（使用密码）

更新时间：2021/04/27 GMT+08:00

功能介绍

该接口可以用于通过用户名/密码的方式进行认证来获取IAM用户Token。

Token是系统颁发给IAM用户的访问令牌，承载用户的身份、权限等信息。调用IAM以及其他云服务的接口时，可以使用本接口获取的IAM用户Token进行鉴权。

Token的有效期为24小时，建议进行缓存，避免频繁调用。无论是否重新获取Token，在有效期内的Token始终有效。使用Token前请确保Token离过期有足够的时间，防止调用API的过程中Token过期导致调用API失败。

该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见：地区和终端节点。

如果您的华为云帐号已升级为华为帐号，将不支持获取帐号Token，建议您为自己创建一个IAM用户，授予该用户必要的权限，获取IAM用户Token。
如果您开启了登录保护并设置登录保护为MFA验证，请参考获取IAM用户Token（使用密码+虚拟MFA）获取IAM用户Token。
如果需要获取具有Security Administrator权限的Token，请参见：如何获取Security Administrator权限的Token。
通过Postman获取用户Token示例请参见：如何通过Postman获取用户Token。

调试

您可以在API Explorer中直接运行调试该接口。

URI

POST /v3/auth/tokens

表1 Query参数
参数	是否必选	参数类型	描述
nocatalog	否	String	如果设置该参数，返回的响应体中将不显示catalog信息。任何非空字符串都将解释为true，并使该字段生效。

请求参数

表2 请求Header参数
参数	是否必选	参数类型	描述
Content-Type	是	String	该字段内容填为“application/json;charset=utf8”。

表3 请求Body参数
参数	是否必选	参数类型	描述
auth	是	Object	认证信息。

表4 auth
参数	是否必选	参数类型	描述
identity	是	Object	认证参数。
scope	是	Object	Token的使用范围，取值为project或domain，二选一即可。说明：如果您将scope设置为domain，该Token适用于全局级服务；如果将scope设置为project，该Token适用于项目级服务。如果您将scope同时设置为project和domain，将以project参数为准，获取到项目级服务的Token。

表5 auth.identity
参数	是否必选	参数类型	描述
methods	是	Array of strings	认证方法，该字段内容为["password"]。取值范围： password
password	是	Object	IAM用户密码认证信息。说明： user.name和user.domain.name可以在界面控制台“我的凭证”中查看，具体获取方法请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。如果是第三方系统用户，直接使用联邦认证的用户名和密码获取Token，系统会提示密码错误。需要在华为云的登录页面，通过“忘记密码” 功能，在华为云中设置登录密码，并在password中输入新设置的密码。该接口提供了锁定机制用于防止暴力破解，调用时，请确保用户名密码正确，输错一定次数（管理员可设置该规则，方法请参见：帐号锁定策略）将被锁定。

表6 auth.identity.password
参数	是否必选	参数类型	描述
user	是	Object	需要获取Token的IAM用户信息。

表7 auth.identity.password.user
参数	是否必选	参数类型	描述
domain	是	Object	IAM用户所属帐号信息。
name	是	String	IAM用户名。
password	是	String	IAM用户的登录密码。说明：务必保证密码输入正确，避免获取Token失败。

表8 auth.identity.password.user.domain
参数	是否必选	参数类型	描述
name	是	String	IAM用户所属帐号名。

表9 auth.scope
参数	是否必选	参数类型	描述
domain	否	Object	取值为domain时，表示获取的Token可以作用于全局服务，全局服务不区分项目或区域，如OBS服务。如需了解服务作用范围，请参考系统权限。domain支持id和name，二选一即可，建议选择“domain_id”。
project	否	Object	取值为project时，表示获取的Token可以作用于项目级服务，仅能访问指定project下的资源，如ECS服务。如需了解服务作用范围，请参考系统权限。project支持id和name，二选一即可。

**表10** auth.scope.domain
参数	是否必选	参数类型	描述
id	否	String	IAM用户所属帐号ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。id和name，二选一即可。
name	否	String	IAM用户所属帐号名称，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。id和name，二选一即可。

**表11** auth.scope.project
参数	是否必选	参数类型	描述
id	否	String	IAM用户所属帐号的项目ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。id和name，二选一即可。
name	否	String	IAM用户所属帐号的项目名称，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。id和name，二选一即可。

请求示例

获取IAM用户名为“IAMUser”，IAM用户密码为“IAMPassword”，所属帐号名为“IAMDomain”，作用范围为项目“cn-north-1”，且返回的响应体中将不显示catalog信息的Token。

POST https://iam.myhuaweicloud.com/v3/auth/tokens?nocatalog=true

{
    "auth": {
        "identity": {
            "methods": [
                "password"
            ],
            "password": {
                "user": {
                    "domain": {
                        "name": "IAMDomain"        //IAM用户所属帐号名
                    },
                    "name": "IAMUser",             //IAM用户名
                    "password": "IAMPassword"      //IAM用户密码
                }
            }
        },
        "scope": {
            "project": {
                "name": "cn-north-1"               //项目名称
            }
        }
    }
}

获取IAM用户名为“IAMUser”，IAM用户密码为“IAMPassword”，所属帐号名为“IAMDomain”，作用范围为整个帐号的Token。

POST https://iam.myhuaweicloud.com/v3/auth/tokens

{
    "auth": {
        "identity": {
            "methods": [
                "password"
            ],
            "password": {
                "user": {
                    "domain": {
                        "name": "IAMDomain"        //IAM用户所属帐号名
                    },
                    "name": "IAMUser",             //IAM用户名
                    "password": "IAMPassword"      //IAM用户密码
                }
            }
        },
        "scope": {
            "domain": {
                "name": "IAMDomain"        //IAM用户所属帐号名
            }
        }
    }
}

响应参数

**表12** 响应Header参数
参数	参数类型	描述
X-Subject-Token	string	签名后的Token。

**表13** 响应Body参数
参数	参数类型	描述
Token	Object	获取到的Token信息。

**表14** Token
参数	参数类型	描述
catalog	Array of objects	服务目录信息。
domain	Object	获取Token的IAM用户所属的帐号信息。如果获取Token时请求体中scope参数设置为domain，则返回该字段。
expires_at	String	Token过期时间。
issued_at	String	Token下发时间。
methods	Array of strings	获取Token的方式。
project	Object	获取Token的IAM用户所属帐号的项目信息。如果获取Token时请求体中scope参数设置为project，则返回该字段。
roles	Array of objects	Token的权限信息。
user	Object	获取Token的IAM用户信息。

**表15** Token.catalog
参数	参数类型	描述
endpoints	Array of objects	终端节点。
id	String	服务ID。
name	String	服务名称。
type	String	该接口所属服务。

**表16** Token.catalog.endpoints
参数	参数类型	描述
id	String	终端节点ID。
interface	String	接口类型，描述接口在该终端节点的可见性。值为“public”，表示该接口为公开接口。
region	String	终端节点所属区域。
region_id	String	终端节点所属区域ID。
url	String	终端节点的URL。

**表17** Token.domain
参数	参数类型	描述
name	String	帐号名称。
id	String	帐号ID。

**表18** Token.project
参数	参数类型	描述
domain	Object	项目所属帐号信息。
id	String	项目ID。
name	String	项目名称。

**表19** Token.project.domain
参数	参数类型	描述
id	String	帐号ID。
name	String	帐号名称。

**表20** Token.roles
参数	参数类型	描述
name	String	权限名称。
id	String	权限ID。默认显示为0，非真实权限ID。

**表21** Token.user
参数	参数类型	描述
name	String	IAM用户名。
id	String	IAM用户ID。
password_expires_at	String	密码过期时间（UTC时间），“”表示密码不过期。
domain	Object	IAM用户所属的帐号信息。

**表22** Token.user.domain
参数	参数类型	描述
name	String	IAM用户所属帐号名称。
id	String	IAM用户所属帐号ID。

响应示例

状态码为 201 时:

创建成功。

响应Header参数：
X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...

响应Body参数：
{
    "token": {
        "catalog": [],
        "expires_at": "2020-01-04T09:05:22.701000Z",
        "issued_at": "2020-01-03T09:05:22.701000Z",
        "methods": [
            "password"
        ],
        "project": {
            "domain": {
                "id": "d78cbac186b744899480f25bd022f...",
                "name": "IAMDomain"
            },
            "id": "aa2d97d7e62c4b7da3ffdfc11551f...",
            "name": "cn-north-1"
        },
        "roles": [
            {
                "id": "0",
                "name": "te_admin"
            },
            {
                "id": "0",
                "name": "op_gated_OBS_file_protocol"
            },
            {
                "id": "0",
                "name": "op_gated_Video_Campus"
            }
        ],
        "user": {
            "domain": {
                "id": "d78cbac186b744899480f25bd022f...",
                "name": "IAMDomain"
            },
            "id": "7116d09f88fa41908676fdd4b039e...",
            "name": "IAMUser",
            "password_expires_at": ""
        }
    }
}

获取IAM用户名为“IAMUser”，IAM用户密码为“IAMPassword”，所属帐号名为“IAMDomain”，作用范围为整个帐号的Token。

响应Header参数：
X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...

响应Body参数：
{
    "token": {
        "catalog": [
            {
                "endpoints": [
                    {
                        "id": "33e1cbdd86d34e89a63cf8ad16a5f...",
                        "interface": "public",
                        "region": "*",
                        "region_id": "*",
                        "url": "https://iam.myhuaweicloud.com/v3.0"
                    }
                ],
                "id": "100a6a3477f1495286579b819d399...",
                "name": "iam",
                "type": "iam"
            },
            {
                "endpoints": [
                    {
                        "id": "29319cf2052d4e94bcf438b55d143...",
                        "interface": "public",
                        "region": "*",
                        "region_id": "*",
                        "url": "https://bss.myhuaweicloud.com/v1.0"
                    }
                ],
                "id": "c6db69fabbd549908adcb861c7e47...",
                "name": "bssv1",
                "type": "bssv1"
            }
        ],
        "domain": {
            "id": "d78cbac186b744899480f25bd022f...",
            "name": "IAMDomain"
        },
        "expires_at": "2020-01-04T09:08:49.965000Z",
        "issued_at": "2020-01-03T09:08:49.965000Z",
        "methods": [
            "password"
        ],
        "roles": [
            {
                "id": "0",
                "name": "te_admin"
            },
            {
                "id": "0",
                "name": "secu_admin"
            },
            {
                "id": "0",
                "name": "te_agency"
            }
        ],
        "user": {
            "domain": {
                "id": "d78cbac186b744899480f25bd022f...",
                "name": "IAMDomain"
            },
            "id": "7116d09f88fa41908676fdd4b039e...",
            "name": "IAMUser",
            "password_expires_at": ""
        }
    }
}

状态码为 400 时:

参数无效。

{
    "error": {
        "code": 400,
        "message": "The request body is invalid",
        "title": "Bad Request"
    }
}

状态码为 401 时:

认证失败。

{
    "error": {
        "code": 401,
        "message": "The username or password is wrong.",
        "title": "Unauthorized"
    }
}

返回值

返回值	描述
201	创建成功。
400	参数无效。
401	认证失败。
403	没有操作权限。
404	未找到相应的资源。
500	内部服务错误。
503	服务不可用。

错误码

无

父主题： Token管理

上一篇：Token管理

下一篇：获取IAM用户Token（使用密码+虚拟MFA）

文档是否有解决您的问题？

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

反馈提交失败，请稍后再试！

如您有其它疑问，您也可以通过华为云社区论坛频道来与我们联系探讨

智能客服提问云社区提问