情景:
1)您正在实施支持SSO(SPNEGO)的网站/网络服务器。 2)客户端连接到您并为您提供有效的票证,因此授予客户端访问权限
问题 - 此时,我应该实现一些机制,例如允许客户端不再生成票证的cookie(存储一些可以缓存客户端并用于后续调用的值)?我可以使用相同的spnego令牌多长时间/多少次请求?我试着找到第二个问题的答案而找不到答案....什么是" MAXLIFE"您可以为SPNEGO令牌生成的令牌?
答案 0 :(得分:2)
第一个问题/答案显然取决于您的用例。如果您的网站包含浏览器,则会话Cookie,例如JSESSIONID,是要走的路。如果这是某个库,它必须支持cookie。虽然票证生成非常快。
第二个问题:不要乱拨门票。它们不能被重用并且会抛出异常:这是一个重播。将这些令牌传递给SSPI / GSS-API并在auth完成时抛弃上下文。一旦服务器再次唠叨你,就创建一个新的上下文并发送一个新令牌。
默认情况下,票证在Active Directory中有效期为10小时,但管理员可以更改此票证。在Windows上使用kerbtray.exe或在Unix上使用klist查看票证的生命周期。