我知道中央认证服务(CAS)和Kerberos都可以用于认证以建立会话。这两个协议涉及至少三方,并将创建票证授予票证持续时间认证,因此CAS之间存在差异和Kerberos?
有人可以帮忙吗?谢谢!
[UPDATE]
它(CAS)是一种代理身份验证服务的方法,如Kerberos或 网上的LDAP。
然而,JASIG声明“CAS然后生成一张票证和一张通过SSL传输的瞬态cookie,存储在浏览器内存中”(https://wiki.jasig.org/display/CAS/Extended+Authentication+Walkthroughs),所以我猜CAS不仅仅是一个代理,因为它本身可以生成一张票。我是对的吗?
请点亮我,谢谢!
答案 0 :(得分:6)
CAS本身并不是一种身份验证服务,但它是一种在Web上代理Kerberos或LDAP等身份验证服务的方法。
在CAS发明时,浏览器或服务器中几乎没有对kerberos的支持。所以CAS(和Stanford WebAuth,以及Duke写的那个......)都提出了各种方法来模拟Kerberos使用浏览器中提供的身份验证服务。 (即将看起来很像kerberos服务票的东西塞进浏览器cookie ......)
即使是现在,所有浏览器和所有服务器都无法统一提供kerberos支持。配置浏览器通过SPNEGO进行kerberos身份验证可以从完全自动到下一个不可能完成。如果您有基于Web的应用程序,最好的办法是使用CAS之类的东西来进行基于cookie的身份验证。像CAS这样的代理服务可以与任何支持cookie的浏览器一起使用。
答案 1 :(得分:1)
Kerberos不支持会话密钥,仅使用算法验证。