NTLM身份验证-经过身份验证后,服务器是否颁发了任何令牌?
NTLM身份验证后,服务器是否向客户端发出某种令牌,然后下次客户端请求同一服务器上的资源时,它将忽略NTML身份验证过程?身份验证后,将有一个密封密钥,可能还有一个从身份验证中生成的基本密钥创建的签名密钥。这些将用于会话的其余部分。可以看出,每个会话只发生一次身份验证过程NTLM身份验证-经过身份验证后,服务器是否颁发了任何令牌?,ntlm,Ntlm,NTLM身份验证后,服务器是否向客户端发出某种令牌,然后下次客户端请求同一服务器上的资源时,它将忽略NTML身份验证过程?身份验证后,将有一个密封密钥,可能还有一个从身份验证中生成的基本密钥创建的签名密钥。这些将用于会话的其余部分。可以看出,每个会话只发生一次身份验证过程 本文将进一步详细说明整个过程 (来自MSDN:)在无连接模式下,消息可能会无序到达。因此,必须为每条消息重置密封密钥。因此,在连接模式下,意味着密封密钥被重用,这是否意味着,如果中间人拥有密封密钥,那么他/她可以伪造服务器?是
本文将进一步详细说明整个过程 (来自MSDN:)在无连接模式下,消息可能会无序到达。因此,必须为每条消息重置密封密钥。因此,在连接模式下,意味着密封密钥被重用,这是否意味着,如果中间人拥有密封密钥,那么他/她可以伪造服务器?是的,这确实意味着如果密封密钥被泄露,那么攻击者可以假装是有效客户端向服务器发送消息,就好像使用了这种安全一样,密封被视为隐式签名。但是,请注意,此协议的目的是使MitM攻击更加困难。具有足够资源的MitM攻击可能会破坏沿不安全通道的任何相互身份验证,而防范该攻击需要安全通道。详细解释。我很难理解这个密钥的用法,这与Oauth2中的和access_令牌相同吗@查尔斯布。