安全令牌和安全票证有什么区别？

Question

安全令牌和安全票证有什么区别？

我见过这些术语可以互换使用。这些有没有“行业标准”的定义？或者，这些术语的定义是否因技术/协议/实现而异？

Answer 1

token和ticket这两个词在很大程度上取决于您正在处理的系统类型；以及您正在谈论的上下文。在Windows NT派生产品上，令牌的概念是一个身份。当用户或服务登录到系统时，系统将验证其身份一次，并创建一个令牌，该令牌将传递给该用户/服务并用作其身份。例如，系统不需要在每次程序打开文件时都验证身份。这基本上确保了身份验证(证明用户/服务就是他们所说的那个人)和授权(确定用户/服务是否可以访问某些资源)之间的清晰分离。

另一方面，(同样对于NT衍生物)单词ticket通常指的是Kerberos tickets。它们用于域中的两台机器，以便能够证明彼此的身份。在向域控制器证明自己的身份后(使用密码或智能卡等传统手段)，域控制器生成一个票证，该票证可以传递给远程机器进行身份验证。

如果要处理远程机器，则可能同时涉及票证和令牌。例如，如果计算机A在计算机B上打开一个文件共享，则计算机A将验证使用域控制器的用户，从而获得Kerberos票证。然后，它使用Kerberos票证验证其与计算机B的身份。然后，计算机B为计算机A创建一个会话，生成一个令牌，作为计算机B上本地授权查询的会话身份。

在这个问题上，正如Feral和Oded在其他地方所说的那样，这是一种非常特定于领域的语言。

Answer 2

服务请求通过身份验证后，安全令牌将成为安全票证。对于SOAP，在接收到SOAP消息作为确认后，该安全票证将用于所有后续请求。我认为安全令牌是更高级别、更严格的令牌，而安全票证是由服务提供商签发的，范围更窄。

根据这篇(不再是最新的) MSDN文章，

...the客户端从STS获取安全上下文令牌(这表明客户端已通过身份验证)，并将其缓存。在客户端通过STS认证之后，客户端可以使用会话令牌来请求用于与服务通信的服务令牌。STS验证客户端提供的安全令牌并发布服务令牌的方式类似于Kerberos协议验证票证授予票证并发布服务票证的方式。

“安全令牌”的含义和我熟悉的一样，但用“服务令牌”代替了“服务工单”。句子的最后一部分，关于Kerberos，读起来真的很奇怪，即“票据授予票据”。

这是另一种解释，其中的术语对我来说更熟悉(特别是关于)：

SAML的基本形式只是意味着服务提供商将信任身份提供商使用

标准提供的身份验证凭证……请注意，当我们使用术语“令牌”时，我们谈论的不是某种物理安全令牌，而是完全不同的东西，即属于SAML标准的安全票证。

现在是你问题的下一部分，是关于标准的。有四个用于安全令牌的OASIS WS用例(策略？)，其中包含到标准的链接。如果您在访问它时遇到任何问题，OASIS有一个页面。