身份验证转发：Kerberos 中的代理身份验证

身份验证转发是代理的一种实例，其中授予的服务是完全使用客户端身份。一个可能使用身份验证转发的例子是当用户登录到远程系统并希望身份验证从该系统中工作，就像登录是本地的一样。

'FORWARDABLE' 标志在票据中通常只由票据授予服务 (TGS) 解释。应用程序服务器可以忽略它。

'FORWARDABLE' 标志的解释与 'PROXIABLE' 标志类似，但 TGT 还可以使用不同的网络地址进行发行。默认情况下，此标志被重置，但用户可以在请求初始 TGT 时通过设置 AS 请求中的 'FORWARDABLE' 选项来请求设置该标志。

该标志允许进行身份验证转发而无需再次输入密码。如果未设置该标志，则不允许进行身份验证转发，但如果用户参与 AS 交换，指定所请求的网络地址并提供密码，则仍然可以实现相同的结果。

当客户端呈现设置了 'FORWARDABLE' 标志的票据并通过指定 'FORWARDED' KDC 选项和提供一组新票据的地址来请求转发票据时，TGS 会设置 'FORWARDED' 标志。它还在基于设置了 'FORWARDED' 标志的票据发行的所有票据中设置。应用程序服务器可以选择以不同于非转发票据的方式处理转发票据。

如果无地址票据从一个系统转发到另一个系统，客户端仍应使用此选项获取新的 TGT，以便在不同的系统上具有不同的会话密钥。