为什么 Firefox 不断协商 kerberos 服务票证？

Question

我对 Kerberos 进行了一些测试，发现了一些与 Firefox 和 Kerberos 相关的奇怪行为。我有一台运行 Apache + mod_auh_kerb 的服务器，该服务器配置为在处理来自客户端的请求时检查 kerberos 凭据。执行 Kerberos 身份验证，并且拒绝没有有效凭据的用户。但是，我不明白以下内容：

发出第一个请求后，TGS 会缓存在客户端的 /tmp/krb5ccXXXX 中，但网络捕获显示 Firefox 为每个连接请求 TGS。由于我的服务票证已被缓存，那么为什么不将其重新用于其他请求？每个连接如下：

client = GET index.html ==>服务器
客户端 <= 401 需要身份验证 = 服务器
客户端 = TGS-REQ => KDC
...
客户端 <= TGS-REP = KDC
客户端 = GET index.html + kerberos 负载 =>服务器
client <= 200 OK = server

这不是配置问题，因为 Konqueror 按预期执行。

有什么想法吗？

提前致谢。

PS：这对于 GET 请求来说并不是一个大问题，但考虑基于表单的上传（POST）数据不应该发送两次到服务器！

Answer 1

我认为没有问题。 /tmp/ 中的文件意味着 kerberos 票证已缓存。 Apache 对每个请求都查询身份验证，并且不应用任何缓存。 Konqueror 足够聪明，可以进行自己的缓存并自动以正确的票证进行响应。