Qual è la differenza tra token di sicurezza e ticket di sicurezza?Qual è la differenza tra token di sicurezza e ticket di sicurezza?
Ho visto questi termini usati in modo intercambiabile. Ci sono definizioni "standard di settore" di questi? o questi termini sono definiti in modo diverso a seconda della tecnologia/protocollo/implementazione?
Le parole token e ticket dipendono molto dal tipo di sistema con cui si ha a che fare; e in quale contesto stai parlando. Sui derivati di Windows NT, il concetto di un token è un'identità.Quando un utente o un servizio accede a un sistema, il sistema convalida la propria identità una volta e assegna un token, che viene consegnato a quell'utente/servizio e funge da identità. Il sistema quindi non ha bisogno di convalidare l'identità ogni volta che un programma apre un file, ad esempio. Ciò garantisce fondamentalmente una separazione netta tra autenticazione (dimostrando che un utente/servizio è chi dicono di essere) e l'autorizzazione (che determina se un utente/servizio può accedere ad alcune risorse).
D'altra parte, (sempre per derivati NT) la parola ticket di solito si riferisce a Kerberos tickets. Questi sono usati per due macchine su un dominio per essere in grado di dimostrare l'identità degli altri. Dopo aver provato la propria identità al controller di dominio (con mezzi tradizionali come password o smart card), il controller di dominio estrae un ticket che può essere passato a macchine remote per verificare l'identità.
Se si ha a che fare con una macchina remota, è probabile che siano coinvolti sia i ticket che i token. Ad esempio, se la macchina A apre una condivisione file sulla macchina B, allora la macchina A convalida l'utente che la utilizza con il controller di dominio, ottenendo così un ticket Kerberos. Quindi utilizza il ticket Kerberos per verificare la propria identità con la macchina B. La macchina B crea quindi una sessione per la macchina A, confinante con un token, per fungere da identità di sessione per le query di autorizzazione locali sulla macchina B.
As Feral e Oded avere altrove in questa domanda però, questo è un linguaggio molto specifico per il dominio.
Un token di sicurezza diventa un biglietto sicurezza dopo una richiesta di servizio viene autenticato. Per SOAP, dopo aver ricevuto un messaggio SOAP come conferma, tale ticket di sicurezza viene utilizzato per tutte le richieste successive. Penso a un token di sicurezza come livello superiore, più severo, mentre un ticket di sicurezza è emesso da un fornitore di servizi e più strettamente utile.
In base a questo (non più attuale) articolo di MSDN, Brokered Authentication: Security Token Service:
... il cliente ottiene un contesto token di sicurezza (SCT) (che dimostra che il client è stato autenticato) da lo STS e lo memorizza nella cache. Dopo che il client è stato autenticato con il servizio token di sicurezza, il client può utilizzare il token di sessione per richiedere un token di servizio per la comunicazione con un servizio . Il modo in cui i STS convalida un token di sicurezza presentato da un client e le questioni gettoni di servizio è simile al modo in cui il protocollo Kerberos convalida un ticket di concessione ed emette un servizio biglietto.
"token di sicurezza" ha lo stesso significato di cui ho familiarità, ma "token di servizio" viene utilizzato al posto di "ticket di servizio". L'ultima parte della frase, su Kerberos, si legge in modo molto strano, cioè un "biglietto per la concessione di biglietti".
Ecco un'altra spiegazione, in cui la terminologia è più familiare per me (si tratta specificamente SAML for Single Sign On):
SSO nella sua forma base significa solo che un fornitore di servizi si fiderà credenziali di autenticazione fornite utilizzando lo standard SAML da un provider di identità ... Si noti che quando usiamo il termine 'token', non stiamo parlando di un qualche tipo di token di sicurezza fisico, ma qualcos'altro, un ticket di sicurezza che fa parte di lo standard SAML .
Ora per la parte successiva della domanda, che riguardava gli standard. This blog post ha quattro casi d'uso OASIS WS per i token di sicurezza (policy?), Con collegamenti agli standard. In caso di problemi con l'accesso, OASIS ha una pagina di standards for security tokens.
I termini significano la stessa cosa. Sono in effetti intercambiabili, anche se ho ascoltato un token usato di più nei circoli della sicurezza. – Oded
@Oded Probabilmente non avrei nemmeno provato a rispondere a questa domanda, ma non ho letto il tuo profilo fino a dopo. Conosci MOLTO su token, biglietti e sicurezza! –
@FeralOink - Il mio rappresentante e i commenti non dovrebbero impedirti di rispondere alle domande. Posso dirti che non so tutto;). E dalla tua risposta - sembra che tu stia parlando di un contesto molto specifico - SOAP, che può o meno essere quello che l'OP sta chiedendo. – Oded