使用SPNEGO Web SSO自動登錄

Question

我們計划在Web應用程序上使用http://spnego.sourceforge.net/實施SSO。 我已經在http://spnego.sourceforge.net/中嘗試了示例項目，並且效果很好（helloKDC.java和hello_spnego.jsp）。

我的問題是，在使用SPNEGO成功驗證用戶身份之后，該用戶如何自動登錄到我們的Web應用程序？ 我知道，那個request.getRemoteUser（）返回客戶端的Windows用戶名，但是客戶端的Windows密碼又如何呢？ 如果我的理解是正確的，SPNEGO使用令牌而不是密碼？

注意：這個問題與使用SPNEGO的Java SSO有點相似，但是不幸的是，對此沒有可接受的答案。

Answer 1

您的理解是正確的，SPNEGO使用令牌而不是密碼。 關於第一個問題，關於用戶如何自動登錄Web應用程序，您必須創建Kerberos密鑰表，然后將其復制到應用程序服務器（並配置為查看密鑰表），以便將SPNEGO令牌解密為“告訴”用戶是誰。 設置完密鑰標簽后，將自動使用Kerberos SSO登錄到您的Web服務器。 否則，令牌對於您的應用程序來說就像是加擾的位，SSO身份驗證將失敗。 請注意，您將永遠看不到密碼-沒有request.getPassword() 。 在SPNEGO / Kerberos中，永遠不會向任何人，應用程序服務器乃至Kerberos KDC本身公開或公開密碼，因此在使用SPNEGO / Kerberos時無法以任何方式獲取密碼。 這是Kerberos的優點之一。 作為其他參考，您可以在此處閱讀有關如何創建Kerberos密鑰表的技術文章的更多信息： Kerberos密鑰表–說明 。