安全令牌和安全票证有什么区别?
我看到这些术语可以互换使用。这些是否有“行业标准”的定义?或者这些术语的定义是否取决于技术/协议/实施?
答案 0 :(得分:4)
单词 token 和 ticket 在很大程度上取决于您正在处理的系统类型;在你说话的背景下。在Windows NT衍生产品上,令牌的概念是一种身份。当用户或服务登录到系统时,系统会验证其身份一次,并将一个令牌下注,该令牌将传递给该用户/服务并作为其身份。例如,每当程序打开文件时,系统就不需要验证身份。这基本上确保了身份验证(证明用户/服务是他们所说的人)和授权(确定用户/服务是否可以访问某些资源)之间的清晰分离。
另一方面,(对于NT衍生品),票一词通常是指Kerberos tickets。这些用于域上的两台机器,以便能够证明彼此的身份。在向域控制器证明一个人的身份后(使用密码或智能卡等传统方式),域控制器会伪造一张票据,该票证可以传递给远程机器以验证身份。
如果正在处理远程计算机,则很可能涉及故障单和令牌。例如,如果计算机A在计算机B上打开文件共享,则计算机A验证用户将其与域控制器一起使用,从而获得Kerberos票证。然后,它使用Kerberos票证来验证其与机器B的身份。然后,机器B为机器A创建会话,创建令牌,作为机器B上本地授权查询的会话标识。
尽管Feral和Oded在这个问题的其他地方有,但这是一种特定领域的语言。
答案 1 :(得分:3)
在成功验证服务请求后,安全令牌将成为安全票证。对于SOAP,在收到SOAP消息作为确认后,该安全票证将用于所有后续请求。我认为安全令牌更高级别,更严格,而安全票证由服务提供商发布,更有用。
根据此(不再是最新的)MSDN文章, Brokered Authentication: Security Token Service :
...客户端获得安全上下文令牌(SCT)(演示 客户端已经过身份验证)来自STS并缓存它。 客户端使用STS进行身份验证后,客户端可以使用 会话令牌,用于请求服务令牌与a进行通信 服务。 STS验证由a提供的安全令牌的方式 客户端和问题服务令牌类似于Kerberos 协议验证票证授予票证并发布服务 票。
“安全令牌”与我熟悉的含义相同,但使用“服务令牌”代替“服务票证”。关于Kerberos的句子的最后一部分读起来很奇怪,即“票证授予票”。
以下是另一种解释,其中术语对我来说更为熟悉(特别是关于 SAML for Single Sign On ):
SSO的基本形式意味着服务提供商会信任 使用SAML标准提供的身份验证凭据 身份提供者...请注意,当我们使用“令牌”一词时, 我们不是在谈论某种物理安全令牌,但是 完全不同的是,作为SAML一部分的安全票证 标准。
现在问题的下一部分是关于标准的。 This blog post 有四个用于安全令牌的OASIS WS用例(策略?),以及指向标准的链接。如果您在访问该网页时遇到任何问题,OASIS会有一页 standards for security tokens 。