我最近阅读了有关 Kerberos 及其用于安全验证用户的出色算法的信息。
但是 Kerberos 的“缺点”是它需要直接从身份验证服务器手动添加凭据(称为“主体”)(使用 Kerberos 实现)。
因此,除非我忽略它,否则不可能使用电子商务中的经典表单将新用户添加到 Kerberos。事实上,显然,这将浪费 Kerberos 原则,因为凭据将通过网络发送,即使它们是使用 SSL 加密的......
您能否确认一下,Kerberos 不能用于要求每个用户创建自己并添加自己的登录名/密码的经典网站?这意味着不需要 Kerberos 服务器的管理员。
就技术能力而言,您可以使用 Kerberos 作为身份验证信息的后备存储,并且仍然支持 SSL 上的用户名和密码。这不是理想的 Kerberos 模型,因为这意味着用户所在的本地系统以外的系统会获得密码的副本。但这只是意味着您没有使用 Kerberos 的全部安全功能;这并不意味着 Kerberos 不起作用。出于其他原因,使用 Kerberos 可能仍然很方便。
Kerberos 的一个肮脏的小秘密是,几乎每个大规模部署它的站点都通过 SSL 接受至少某些应用程序的用户名和密码,并在服务器上验证用户名和密码。在很多情况下,没有其他好的方法可以做到这一点。对于 Web 应用程序尤其如此。虽然许多 Web 浏览器确实通过 Negotiate-Auth 支持 SPNEGO 来进行真正的 Kerberos 身份验证,但这在很多情况下都不起作用(系统本地没有 Kerberos、kiosk 系统、没有本地 Kerberos 库的电话设备等。 )。
(我是斯坦福大学的 Kerberos 管理员,也是我们 Web 身份验证系统的维护者,该系统基于 Kerberos,但对于大多数用户来说,仍然通过 SSL 获取用户名和密码,并在中央 Web 登录服务器上验证它们。)