Authentication CAS中Kerberos服务票证(ST)的意义是什么?

Authentication CAS中Kerberos服务票证(ST)的意义是什么?,authentication,single-sign-on,kerberos,cas,spnego,Authentication,Single Sign On,Kerberos,Cas,Spnego,在CAS中,您有票证授予票证(TGT)和服务票证(ST)。如果你已经有了TGT,我不明白你为什么需要STs。您可以简单地验证TGT,并为TGT所有者向客户机返回授权绿灯 那么,为什么我们需要在TGT旁边添加一个名为ST的附加票证呢?在Kerberos世界中,服务票证(ST)提供对应用程序服务的访问,例如,在某些服务器上运行的HTTP或SSH服务。在这样的示例中,实际的HTTP或SSH服务被视为受保护的资源—您必须通过提供Kerberos服务票证向该服务证明您的身份。现在,让我们后退一步。为了从K

在CAS中,您有票证授予票证(TGT)和服务票证(ST)。如果你已经有了TGT,我不明白你为什么需要STs。您可以简单地验证TGT,并为TGT所有者向客户机返回授权绿灯


那么,为什么我们需要在TGT旁边添加一个名为ST的附加票证呢?

在Kerberos世界中,服务票证(ST)提供对应用程序服务的访问,例如,在某些服务器上运行的HTTP或SSH服务。在这样的示例中,实际的HTTP或SSH服务被视为受保护的资源—您必须通过提供Kerberos服务票证向该服务证明您的身份。现在,让我们后退一步。为了从KDC获得任何服务票,您必须拥有TGT。TGT是Kerberos客户端向KDC证明其身份以获取STs的机制,ST是Kerberos客户端向目标资源(应用程序服务器)证明其身份的机制。应用服务器不验证Kerberos客户端的TGT,而是验证STs。Kerberos客户端可以是用户、计算机,甚至是服务。尽管Kerberos可移植到任何总体架构的身份验证框架体系结构中,但它的体系结构是用于内部网络,而不是通过web。参考: