代码之家  ›  专栏  ›  技术社区  ›  nowox

安全LDAP身份验证?

ldap authentication web-services
  •  0
  • nowox  · 技术社区  · 7 年前

    我想在活动目录服务器上验证我的用户以访问Web服务器。但是,我不希望密码被发送到Web服务器。

    我找到的所有解决方案都使用带有纯密码的post请求,例如以下示例: 

    <?php

// using ldap bind
$ldaprdn  = 'uname';     // ldap rdn or dn
$ldappass = 'password';  // associated password

// connect to ldap server
$ldapconn = ldap_connect("ldap.example.com")
    or die("Could not connect to LDAP server.");

if ($ldapconn) {

    // binding to ldap server
    $ldapbind = ldap_bind($ldapconn, $ldaprdn, $ldappass);

    // verify binding
    if ($ldapbind) {
        echo "LDAP bind successful...";
    } else {
        echo "LDAP bind failed...";
    }

}

?>

    有没有一种方法可以在客户端散列密码,然后将令牌发送到用于向LDAP服务器进行身份验证的后端?

    php只是一个例子,我的问题不是特定于语言的。

    1 回复  |  直到 7 年前
        1
  •  1
  •   heiglandreas    7 年前

    如果您知道LDAP后端的散列算法,那么您可能能够在JavaScript中散列密码并将其仅发送给服务器。这意味着,LDAP身份验证脚本需要能够读取所有的密码散列,以便将它们与预密码进行比较。

    我认为比通过TLS安全HTTP连接(AKA HTTPS)向服务器发送明文密码的风险更高,然后服务器也通过TLS安全(LDAP或SARTTLS)使用默认绑定机制。

    而且,由于您没有使用绑定机制,所有可能的密码策略或锁定密码的强制执行都很容易获得,并由您的目录管理员实现和支持,现在也需要您自己重建和维护。

    推荐文章
    vale383  ·  如何在Django端点中查找user_id
    1 年前
    Ariel Vilche  ·  WebSecurityConfiguration bean Spring引导安全中的自动连线错误
    1 年前
    Darsh. S.  ·  一旦用户从react中的私有路由中注销,我如何防止react组件的可访问性?
    1 年前
    Reaper Rapper-san's Eye  ·  有人知道为什么我的变量(x)在这个程序中将其值从3更改为0(x++后的1)吗?我试图创建一个注册系统,但它会覆盖
    1 年前
    user25947831  ·  使用python对从php页面检索到的照片进行操作
    1 年前
    Branson Street  ·  我如何到达我的登录将接受电子邮件或用户名字段中的用户名的位置
    1 年前
    Tunahan Keklik  ·  如果用户仍在网站上时会话过期怎么办
    1 年前
    Dzy  ·  Flutter“String”不是类型“Map<dynamic,dynamic>”的子类型
    1 年前
    onizukaek  ·  如何将无密码登录链接认证应用于无头架构?
    1 年前
    Kananda Gama  ·  Problema com登录[关闭]
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号