SPNEGO：成功协商和认证后的后续呼叫

在过去的几天里，我使用GSS-API和SPNEGO构建了一个概念验证演示。目的是让用户通过Http RESTful Web服务单点登录访问我们的自定义应用程序服务器提供的服务。

持有有效Kerberos票证授予票证（TGT）的用户可以调用启用SPNEGO的Web服务，客户端和服务器将进行协商，用户将通过Kerberos和应用程序级别进行身份验证，并且（在成功身份验证后）在其票证缓存中拥有我的服务主体的服务票证。

这可以很好地使用带有--协商标志的CURL作为测试客户端。

在第一次通过时，CURL会发出一个没有特殊标头的普通HTTP请求。此请求被服务器拒绝，服务器会在响应标头中添加“WWW-Authenticate： Nealog ate”，建议进行协商。然后，CURL从KDC获取一个Service Ticket，并发出第二个请求，这次使用在请求标头中协商包装好的Service Ticket（NigTokenInit）服务器然后打开票证，对用户进行身份验证，并且（如果身份验证成功）执行请求的服务（例如登录）。

问题是，从客户端到服务器的后续服务调用应该发生什么客户端现在拥有一个有效的Kerberos服务票证，但是使用SPNEGO通过CURL进行的其他调用会进行上述两次相同的传递。

在我看来，我有很多选择：

1） 每个服务调用都会重复完整的2遍SPNEGO协商（就像CURL一样）。虽然这可能是最简单的选择，但至少在理论上会有一些开销：客户端和服务器都在创建和分解GSS上下文，并且请求在网络上被发送了两次，GET可能可以，POST则更少，如以下问题所述：

为什么每个Firefox请求的授权行都会更改？

为什么Firefox一直在协商kerberos服务票证？

但是，在现实生活中，开销是否显而易见？我想只有性能测试才能说明问题。

2） 第一个调用使用SPNEGO协商。成功进行身份验证后，后续调用将使用应用程序级身份验证。这似乎是Websphere Application Server采用的方法，它为后续调用使用轻量级第三方身份验证（LTPA）安全令牌。

https://www.ibm.com/support/knowledgecenter/SS7JFU_8.5.5/com.ibm.websphere.express.doc/ae/csec_SPNEGO_explain.html

起初，这似乎有点奇怪。既然成功地协商了可以使用Kerberos，为什么还要求助于其他方法呢？另一方面，如果可以证明GSS-API/SPNEGO会导致明显的开销/性能损失，那么这种方法可能是有效的。

3） 第一个调用使用SPNEGO协商。一旦成功验证和信任，后续调用将使用GSS-API Kerberos。在这种情况下，我不妨选择下面的选项4）。

4） 转储SPNEGO，使用“纯”GSS-API Kerberos。我可以通过自定义Http头或cookie交换Kerberos票证。

是否有最佳实践？

作为背景：客户机和服务器应用程序都在我的控制之下，都是用java实现的，而且我都知道“讲”Kerberos。我选择SPNEGO作为“起点”，以证明概念，并逐步进入Kerberos和单点登录的世界，但这并不是一个硬性要求。

概念验证在带有FreeIPA的OELLinux服务器上运行（因为这是我在我们的地下城中拥有的），但可能的应用程序将是Windows/Active Directory。

^*或与其他性能因素（例如数据库、消息正文使用XML与JSON等）相比显着。

如果将来我们希望允许基于浏览器访问web服务，那么SPNEGO将是一条可行的道路。