在Kerberos世界中,服务票证( services,STs)提供对应用程序服务的访问,例如,运行在某个服务器上的HTTP或SSH服务。在这样的示例中,实际的HTTP或SSH服务被认为是受保护的资源--您必须通过提供Kerberos服务票证来证明您对该服务的身份。现在,让我们后退一步。为了从KDC获得任何服务票,您必须拥有一张TGT。TGT是Kerberos客户端为获取STs而向KDC证明其身份的机制,ST是Kerberos客户端证明其身份到目标资源(应用服务器)的机制。应用服务器不验证Kerberos客户端的TGT,而是验证STs。Kerberos客户端可以是用户、计算机,甚至是服务。虽然Kerberos可以移植到任何跨领域的身份验证框架架构,但它的架构是为了在内部网络中使用,而不是在web上使用。参考资料:Kerberos:一种用于计算机网络的认证服务
Kerberos服务票(ST)在CAS中的意义是什么?
