安全令牌和安全票据有什么区别？

Question

安全令牌和安全票据有什么区别？

我看到这些术语可以互换使用。这些有“行业标准”的定义吗？或者这些术语是根据技术/协议/实现的不同而定义的？

Answer 1

单词单号和单号很大程度上取决于您所处理的系统类型;以及你在说什么语境。在Windows NT衍生产品上，标记的概念是标识。当用户或服务登录到系统时，系统会验证其身份一次，并将一个令牌提交给该用户/服务并作为其身份。例如，系统在每次程序打开文件时都不需要验证身份。这基本上确保了认证（证明用户/服务是他们所说的人）与授权（确定用户/服务是否可以访问某种资源）之间的清晰分离。

另一方面，（对于NT衍生产品）单词票通常指的是Kerberos tickets。这些用于域中的两台机器能够证明彼此的身份。在向域控制器（使用传统方法，如密码或智能卡）证明自己的身份之后，域控制器会提供一张可传递给远程计算机以验证身份的票证。

如果有人正在处理远程机器，则可能涉及票据和令牌。例如，如果计算机A在计算机B上打开文件共享，则计算机A将验证用户在域控制器上使用它，从而获得Kerberos票证。然后它使用Kerberos票证验证其与机器B的身份。然后，机器B为机器A创建一个会话，将一个令牌创建为会话标识以用于机器B上的本地授权查询。

As Feral and Oded在这个问题上还有其他地方，这是非常特定领域的语言。

Answer 2

A 安全令牌成为安全票证在成功验证服务请求后。对于SOAP，在接收到SOAP消息作为确认之后，该安全票证将用于所有后续请求。我认为安全令牌的级别更高，更严格，而安全权证由服务提供商颁发，并且更加有用。

根据这个（不再当前）MSDN文章，Brokered Authentication: Security Token Service：

...客户端获得从安全上下文令牌（SCT）（这表明 客户端已通过验证） STS并缓存它。 客户端通过STS认证后，客户端可以使用会话令牌请求服务令牌以便与 服务进行通信。在STS的方式验证由 客户端和问题服务代金券是类似的Kerberos 协议如何验证票证授予票证，并发出服务 票赠送安全令牌。

“安全令牌”具有相同的含义，因为我很熟悉，但“服务标识”来代替“服务券”。这句话的最后一部分关于Kerberos，读起来非常奇怪，即“票证授予票证”。

这里的另一种解释，这里的术语是我比较熟悉的（它是专门关于SAML for Single Sign On）：

SSO的基本形式只是意味着服务提供商将信任使用提供 认证证书由一个 身份提供商提供的SAML标准...请注意，当我们使用术语“令牌”时，我们并不是在讨论某种形式的物理安全令牌，而是其他完全相同的东西， SAML 标准。

现在为您的问题的下一部分，这是关于标准。 This blog post有四个OASIS WS用于安全令牌（策略？）的用例，并附有标准链接。如果您在访问时遇到任何问题，OASIS有一页standards for security tokens。