Authentication CAS中Kerberos服务票证（ST）的意义是什么？

在CAS中，您有票证授予票证（TGT）和服务票证（ST）。如果你已经有了TGT，我不明白你为什么需要STs。您可以简单地验证TGT，并为TGT所有者向客户机返回授权绿灯

---

那么，为什么我们需要在TGT旁边添加一个名为ST的附加票证呢？

在Kerberos世界中，服务票证（ST）提供对应用程序服务的访问，例如，在某些服务器上运行的HTTP或SSH服务。在这样的示例中，实际的HTTP或SSH服务被视为受保护的资源—您必须通过提供Kerberos服务票证向该服务证明您的身份。现在，让我们后退一步。为了从KDC获得任何服务票，您必须拥有TGT。TGT是Kerberos客户端向KDC证明其身份以获取STs的机制，ST是Kerberos客户端向目标资源（应用程序服务器）证明其身份的机制。应用服务器不验证Kerberos客户端的TGT，而是验证STs。Kerberos客户端可以是用户、计算机，甚至是服务。尽管Kerberos可移植到任何总体架构的身份验证框架体系结构中，但它的体系结构是用于内部网络，而不是通过web。参考：