在 GSS-API 中授予凭证

如果允许的话，上下文启动器可以请求由上下文接受器充当代理。在此类情况下，接受器可以代表启动器启动进一步的上下文。

假设计算机 A 上的某个用户希望通过 rlogin 登录到计算机 B，然后通过 rlogin 从计算机 B 登录到计算机 C。根据所使用的机制，所授予的凭证会将 B 标识为 A，或者将 B 标识为 A 的代理。

如果允许授予的话，可以将 ret_flags 设置为 GSS_C_DELEG_FLAG。接受器可接收所授予的凭证并将其作为 gss_accept_sec_context() 的 delegated_cred_handle 参数。授予凭证不同于导出上下文。请参见在 GSS-API 中导出和导入上下文。二者的一个区别就是应用程序可以将其凭证同时授予多次，而上下文一次只能由一个进程持有。