在CAS中,您有票务授予票证(TGT)和服务票证(ST)。如果你已经有TGT,我不明白为什么你需要ST。您可以简单地验证TGT并为TGT的所有者返回绿灯以授权客户端。
那么为什么我们需要一张名为ST的TGT旁边的附加票?
答案 0 :(得分:4)
在Kerberos世界中,服务票证(ST)提供对应用程序服务的访问,例如,在某些服务器上运行的HTTP或SSH服务。此类示例中的实际HTTP或SSH服务被视为受保护资源 - 您必须通过提供Kerberos服务票证来证明您对该服务的身份。现在,让我们走一步。要从KDC获得任何服务票,您必须拥有TGT。 TGT是Kerberos客户端向KDC证明其身份以获取ST的机制,而ST是Kerberos客户端向目标资源(应用程序服务器)证明其身份的机制。应用程序服务器不验证Kerberos客户端的TGT,它们验证ST。 Kerberos客户端可以是用户,计算机,甚至是服务。虽然Kerberos可以移植到任何总体认证框架体系结构,但它的架构设计用于内部网络而不是网络。参考:Kerberos: An Authentication Service for Computer Networks