场景:
1) 您正在实施支持 SSO (SPNEGO) 的网站/网络服务器。2) 客户端连接到您并为您提供有效的票证,因此将访问权限授予客户端
问题 - 在这一点上,我是否应该实现一些机制,例如允许客户端不再生成票证的cookie(存储一些可以缓存客户端并用于后续调用的值)?我可以接受相同的 spnego 令牌多长时间/多少个请求?我试图找到第二个问题的答案,但找不到答案....您可以为 SPNEGO 代币生成的代币的"MAXLIFE"是什么?
第一个问题/答案显然取决于您的用例。如果您有一个带有浏览器的网站,会话cookie,例如 JSESSIONID,是要走的路。如果这是某个库,它必须支持 cookie。不过,票证生成速度非常快。
第二个问题:不要摆弄门票。它们不能重用,并且会引发异常:这是一个重播。将这些令牌传递给 SSPI/GSS-API,并在身份验证完成后丢弃上下文。一旦服务器再次唠叨你,创建一个新的上下文并发送一个新的令牌。
默认情况下,工单在 Active Directory 中的有效期为 10 小时,但管理员可以更改。 在 Windows 上使用kerbtray.exe或在 Unix 上使用klist查看工单的生命周期。