GSS-API认证GSSContext详解.docVIP

认证不成功的原因可能是KDC中的用户需要改变登录的密码，下面的是一位大虾的问题解答经历： 介面 GSSContext public interface GSSContext 此介面將封裝 GSS-API 安全上下文，並提供可通過上下文提供的安全服務。安全上下文是使用本地獲取的憑據在同位體之間創建的。在一對同位體之間可能會同時存在多個上下文，它們使用一套相同或不同的憑據。GSS-API 的執行方式與基礎傳輸協議無關，而是取決於其對傳輸標記的應用程序的調用，這些標記由同位體之間的安全上下文產生。 如果調用者使用預設的 GSSManager 實例實例化上下文，則可保證 Kerberos v5 GSS-API 機制可用於上下文創建。此機制由 Oid 1.2.840.1135 標識，並在 RFC 1964 中被進行定義。 在初始化上下文創建階段之前，上下文初始化程序會請求已創建的上下文所需要的特定特徵。並非所有的基礎機制都支持調用者所需要的全部特徵。在創建上下文之後，調用者可以通過多種查詢方法來檢查由該上下文提供的實際特徵和服務。當使用由預設的 GSSManager 實例提供的 Kerberos v5 GSS-API 機制時，所有的可選服務都可本地提供。它們是相互驗證、憑據委託、機密性和完整性保護、以及 per-message 重放檢測和排序。注意，在 GSS-API 中，訊息完整性是訊息機密性的先決條件。 上下文創建必須在這樣一個環路中進行：初始端調用  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l initSecContext(byte[], int, int) initSecContext，接受端調用  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l acceptSecContext(byte[], int, int) acceptSecContext，直到創建好該上下文。同時，在此環路中，initSecContext 和 acceptSecContext 方法將產生應用程序發送給同位體的標記。同位體將根據情況將任何這樣的標記作為輸入傳遞給它的 acceptSecContext 或 initSecContext。 在上下文創建階段，可能會調用  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l isProtReady() isProtReady 方法來確定是否可以將該上下文用於  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l wrap(byte[], int, int, org.ietf.jgss.MessageProp) wrap 和  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l getMIC(byte[], int, int, org.ietf.jgss.MessageProp) getMIC 的 per-message 操作。這將允許應用程序在尚未完全創建的上下文上使用 per-message 操作。 在上下文創建好或 isProtReady 方法返回 true後，可調用查詢例程來確定已創建上下文的實際特徵和服務。還可以通過使用  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l wrap(byte[], int, int, org.ietf.jgss.MessageProp) wrap 和  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l getMIC(byte[], int, int, org.ietf.jgss.MessageProp) getMIC 的 per-message 方法來啟動應用程序，以獲取對應用程序提供的資料的加密操作。 當不再需要上下文時，應用程序必須調用  HYPERLINK http://nothing.tw/JDK_API_1_6/org/ietf/jgss/GSSContext.html \l dispose() dispose 來釋放該上下文可能正在使用的