Apache 为什么每个firefox请求的授权行都会更改？

在使用Kerberos票证运行时，我注意到每个firefox请求在HTTP头中都有不同的授权行。我加载了一个简单的页面，然后按了几次重新加载按钮，结果都不一样了。是什么导致了这种行为？我本以为授权行在Kerberos凭证期间保持不变。请注意，在启动firefox之前，我通过kinit命令获得了凭据

如果身份验证方法是基本的，那么firefox每次都会继续发送相同的base64字符串“user:password”。这是我所期望的行为

---

有什么想法吗？

嗯，这很奇怪。任何你可以发布wireshark输出的剪贴画的机会。一种可能性是获取的服务票证未缓存，FF获取服务票证。在一些实现中，客户机将获得服务，但不缓存它，而是在每次需要时都去获取服务票证。有时，这是因为进程可能没有写入权限，而且它是一种相对便宜的操作—一次往返和对称加密数据

这是由于HTTP和协商身份验证工作方式中的各种限制

HTTP最初设计为无状态协议，HTTP的身份验证系统采用该模型。它被设计为在每个请求中进行完整的身份验证交换；例如，对于Basic，它将在每个请求中包含您的完整凭据。对于协商身份验证和SPNEGO，同样的事情是正确的：创建一个全新的GSS-API上下文，并对每个请求执行一个新的身份验证

是的，这是非常浪费的。但是目前还没有任何标准化的方法来进行一次身份验证，建立一个会话，然后像IMAP、POP或ssh那样将所有后续请求绑定到该会话。IETF在这方面做了一些工作，但这是非常初步的

---

票据被缓存；它不是每次都做那么多工作。但是服务器和客户机每次都要经历整个GSS-API会话过程。

您没有向任何人提供足够的信息来回答这个问题。你需要花更多的时间来解决这个问题。Rook-你是说我需要深入研究firefox的源代码，以找出浏览器为什么不断更新其授权元素？如果是的话，那很好。我更感兴趣的是我看到的实际的在线数据包。这是预期的行为吗？我不是安全专家。这听起来像firefox bug吗？不知何故，我也失去了我们以前的评论。抱歉，您可能不需要输入源代码。但是你有没有点燃过线鲨？你确定firefox知道使用正确的身份验证方法吗？不，这听起来不像是firefox的bug，这听起来像是一个很难调试的问题，而且你没有给任何人足够的信息，包括你自己来解决这个问题。Rook-wireshark输出准确地显示了我在跟踪中说的话。每个GET的授权元素都不同。事实上，我可以在http:GET请求之间看到一个TGS请求。因此，我们回到了最初的问题-为什么firefox回到KDC，而原始票据应该可以使用8小时？RVM-我将看看是否可以发布wireshark输出。我对此表示怀疑，但你永远不知道公司会允许什么。我想你说的是对的，票没有被缓存。这似乎是一项相对容易的任务。有没有mozilla开发者在看这个？