16.6. 关于 SPNEGO

简单和受保护的 GSSAPI 协商机制（Simple and Protected GSS_API Negotiation Mechanism，SPNEGO）提供了一个扩展基于 Kerberos 的单点登录（Single Sign On，SSO）环境的机制。

当客户端上的应用程序（如浏览器）试图访问 web 服务器上的受保护页面时，服务器会回应需要授权。然后应用程序将从 Kerberos 密钥分发中心（Kerberos Key Distribution Center ，KDC）请求一个票证。获得这个票证后，应用程序将其包裹在一个 SPNEGO 格式的请求里，并通过浏览器送回 Web 应用程序。运行部署的 web 应用程序的 web 容器将解开这个请求并验证这个票证，并在成功验证后授予访问权限。

SPNEGO 可以和所有类型的 Kerberos 提供者一起使用，包括红帽企业版 Linux 包含的 Kerberos 服务以及作为 Microsoft Active Directory 的固有部分的 Kerberos 服务器。