В чем разница между токеном безопасности и билетом безопасности?
в чем разница между токеном безопасности и билетом безопасности?
Я видел эти термины использовались как синонимы. Существуют ли" отраслевые стандартные " определения этих понятий? или эти термины определяются по-разному в зависимости от технологии/протоколу/реализации?
2 ответов
слова маркер и авиабилет в значительной степени зависит от типа системы, с которой Вы имеете дело; и в каком контексте вы говорите. В производных Windows NT понятие маркер - это личность. Когда пользователь или служба входит в систему, система проверяет их идентичность один раз и чеканит маркер, который передается этому пользователю/службе и служит их идентичностью. Затем системе не нужно проверять удостоверение каждый раз, когда программа открывает файл, например. Это в основном обеспечивает чистое разделение между аутентификацией (доказывая, что пользователь/служба-это то, что они говорят) и авторизацией (определяя, может ли пользователь/служба получить доступ к некоторому ресурсу).
с другой стороны, (опять же для производных NT) слово авиабилет как правило, относится к билеты Kerberos. Они используются для двух машин в домене, чтобы иметь возможность доказать идентичность друг друга. После подтверждения своей личности в домене контроллер (с традиционными средствами, такими как пароль или смарт-карта), контроллер домена чеканит билет, который может быть передан удаленным машинам для проверки подлинности.
Если кто-то имеет дело с удаленной машиной, то, скорее всего, задействованы как билеты, так и токены. Например, если компьютер A открывает общий файловый ресурс на компьютере B, то компьютер A проверяет пользователя с помощью контроллера домена, получая билет Kerberos. Затем он использует билет Kerberos для проверки его подлинности с машиной B. машина B затем создает сеанс для машины A, чеканя токен, чтобы служить идентификатором этого сеанса для локальных запросов авторизации на машине B.
поскольку Feral и Oded имеют в другом месте в этом вопросе, это очень специфичный для домена язык.
A маркер безопасности становится безопасность билета после успешной проверки подлинности запроса на обслуживание. Для SOAP после получения сообщения SOAP в качестве подтверждения этот билет безопасности используется для всех последующих запросов. Я думаю о маркере безопасности как более высоком уровне, более строгом, тогда как билет безопасности выдается поставщиком услуг и более узко полезен.
согласно этой (больше не текущей) статье MSDN,при посредничестве Аутентификация: Служба Маркеров Безопасности:
...клиент получает маркер контекста безопасности (SCT) (который демонстрирует что клиент был аутентифицирован) из STS и кэширует его. После проверки подлинности клиента с помощью STS клиент может использовать токен сеанса для запроса токена службы для связи с услуга. Способ проверки STS маркер безопасности представлено a клиент и проблемы сервис жетоны похоже на то, как Kerberos протокол проверяет билет-предоставление билета и выдает услугу билет.
" маркер безопасности "имеет то же значение, что и я, но вместо" сервисный билет "используется"сервисный токен". Последняя часть предложения, о Kerberos, читается действительно странно, т. е. "билет-предоставление билета".
вот еще одно объяснение, где терминология более знакома мне (речь идет конкретно о SAML для единого входа):
SSO в своей основной форме просто означает, что поставщик услуг будет доверять учетные данные проверки подлинности, предоставленные с использованием стандарта SAML провайдер идентификаций... Обратите внимание, что при использовании термина ' token’, мы не говорим о каком-то физическом маркере безопасности, но что-то совсем другое, билет безопасности, который является частью SAML норматив.
теперь для следующей части твой вопрос, который касался стандартов. этот блог имеет четыре варианта использования Oasis WS для токенов безопасности (политика?), со ссылками на стандарты. Если у вас есть какие-либо проблемы с доступом к этому, OASIS имеет страницу стандарты для токенов безопасности.