安全令牌和安全票有什么区别?
我已经看到这些术语可以互换使用。这些是否有“行业标准”定义?或者这些术语是否因技术/协议/实施而有所不同?
问问题
8153 次
2 回答
4
令牌和票据这两个词很大程度上取决于您正在处理的系统类型;以及你在什么情况下说话。在 Windows NT 衍生产品上,令牌的概念是一个身份。当用户或服务登录到系统时,系统会验证他们的身份一次,并铸造一个令牌,该令牌将交给该用户/服务并用作他们的身份。例如,系统不需要在每次程序打开文件时验证身份。这基本上确保了身份验证(证明用户/服务就是他们所说的身份)和授权(确定用户/服务是否可以访问某些资源)之间的清晰分离。
另一方面,(同样是 NT 衍生产品)这个词通常指的是Kerberos票。这些用于域上的两台机器能够证明彼此的身份。在向域控制器证明一个人的身份(使用密码或智能卡等传统方式)后,域控制器会生成一张票证,该票证可以传递给远程机器以验证身份。
如果一个人正在与一台远程机器打交道,那么很可能涉及票证和令牌。例如,如果机器 A 在机器 B 上打开一个文件共享,那么机器 A 会通过域控制器验证使用它的用户,从而获得 Kerberos 票证。然后,它使用 Kerberos 票证来验证其与机器 B 的身份。机器 B 然后为机器 A 创建一个会话,铸造一个令牌,作为该会话身份,用于机器 B 上的本地授权查询。
正如 Feral 和 Oded 在这个问题的其他地方所说,这是非常特定于领域的语言。
于 2013-01-08T18:34:14.660 回答
3
成功验证服务请求后,安全令牌将成为安全票证。对于 SOAP,在收到 SOAP 消息作为确认后,该安全票证将用于所有后续请求。我认为安全令牌的级别更高、更严格,而安全票证是由服务提供商发行的,用途更窄。
根据这篇(不再是当前的)MSDN 文章,代理身份验证:安全令牌服务:
...客户端从 STS 获取安全上下文令牌 (SCT)(表明客户端已通过身份验证)并将其缓存。客户端通过 STS 认证后,客户端可以使用会话令牌请求服务令牌以与服务进行通信。STS 验证客户端提供的安全令牌并发布服务令牌的方式类似于 Kerberos 协议验证票证授予票证并发布服务票证的方式。
“安全令牌”与我熟悉的含义相同,但使用“服务令牌”而不是“服务票证”。句子的最后一部分,关于 Kerberos,读起来很奇怪,即“ticket-granting ticket”。
这是另一种解释,其中的术语对我来说更熟悉(它专门针对 Single Sign On 的 SAML):
基本形式的 SSO 仅意味着服务提供商将信任身份提供商使用 SAML 标准提供的身份验证凭据...请注意,当我们使用“令牌”一词时,我们不是在谈论某种物理安全性令牌,但完全是其他东西,是 SAML 标准的一部分的安全票。
现在你的问题的下一部分是关于标准的。这篇博文有四个用于安全令牌(策略?)的 OASIS WS 用例,并带有标准链接。如果您在访问它时遇到任何问题,OASIS 有一个安全令牌标准页面。
于 2013-01-07T18:21:49.177 回答