6

我正在尝试在 Windows 上实现 SSO(在 Java 中)。最近我发现这个例子正是我想用Waffle做的事情:

// client credentials handle
IWindowsCredentialsHandle credentials= WindowsCredentialsHandleImpl.getCurrent("Negotiate");
credentials.initialize();

// initial client security context
WindowsSecurityContextImpl clientContext = new WindowsSecurityContextImpl();
clientContext.setPrincipalName(Advapi32Util.getUserName());
clientContext.setCredentialsHandle(credentials.getHandle());
clientContext.setSecurityPackage(securityPackage);
clientContext.initialize();

// accept on the server
WindowsAuthProviderImpl provider = new WindowsAuthProviderImpl();
IWindowsSecurityContext serverContext = null;

do {  

    if (serverContext != null) {

        // initialize on the client
        SecBufferDesc continueToken = new SecBufferDesc(Sspi.SECBUFFER_TOKEN, serverContext.getToken());
        clientContext.initialize(clientContext.getHandle(), continueToken);
    }  

    // accept the token on the server
    serverContext = provider.acceptSecurityToken(clientContext.getToken(), "Negotiate");

} while (clientContext.getContinue() || serverContext.getContinue());

System.out.println(serverContext.getIdentity().getFqn());
for (IWindowsAccount group : serverContext.getIdentity().getGroups()) {
    System.out.println(" " + group.getFqn());
}            

...

这个例子很简单,它可以工作,并且可以完全按照我的意愿去做。但我不明白它是如何工作的。

  • 后台发生了什么?
  • Waffle 是否从 Windows 获得 Kerberos 票证?
  • 服务器如何验证客户端的票?
  • 我可以绝对信任从服务器上下文执行循环后获得的用户组吗?

谢谢。托马斯。

4

1 回答 1

8

Waffle 是否从 Windows 获得 Kerberos 票证?

Waffle 使用 Windows SSPI,它代表客户端执行所有涉及 Kerberos 票证的操作。客户永远看不到票。

服务器如何验证客户端的票?

这是一个基本的 Kerberos 问题。发送到服务器的令牌由服务器的密钥加密,这保证了令牌是由对客户端进行身份验证的票证授予服务创建的。

我可以绝对信任从服务器上下文执行循环后获得的用户组吗?

是的,它们是从安全令牌中检索的。这是 MIT Kerberos 协议的特定于 Windows 的扩展。

于 2013-07-29T07:56:15.970 回答