kerberos原理图文说明

链接：https://blog.csdn.net/wangyangzhizhou/article/details/51163782

1. kerberos通信

①客户端根据自己用户名向密钥分发中心KDC的身份认证服务AS请求TGS票证。

②AS生成一个TGS票证、查询对应用户的密码，然后通过用户密码将TGS票证加密，响应给客户端。

③客户端通过用户密码解密TGS票证，如果密码正确就能获取到TGS票证，然后用TGS票证去票证授予服务TGS请求服务票证。

④TGS将服务票证响应给客户端。

⑤客户端使用服务票证去访问某服务，服务验证服务票据是否合法。

⑥验证通过，开始通信。

2 . Spnego的认证过程

 

 

①客户端浏览器向web服务器发送http请求。

②服务器返回401状态码，响应头部加上 WWW-Authenticate:Negotiate。

③用户通过浏览器输入用户名向AS请求TGS票证。

④AS生成TGS票证，然后查询用户密码并用此密码加密TGS票证，返回浏览器。

⑤浏览器使用用户密码解密出TGS票证，并向TGS服务发起请求。

⑥TGS服务生成服务票证响应给浏览器。

⑦浏览器将服务票证封装到SPNEGO token中，并发送给web服务器。

⑧服务器解密出用户名及服务票证，将票证发往TGS服务验证。

⑨通过验证，开始通信。