LDAP身份验证的用户名和密码
问题描述:
客户问我们是否支持单点登录(SSO)的LDAP身份验证。我搜索了一下,并了解了一些关于LDAP的知识。LDAP身份验证的用户名和密码
不过,我不知道我是否应该对一些证书,将给予我的应用程序,然后寻找那些试图登录的用户运行bind
操作,或者我应该呼吁的bind
用户尝试通过我们的应用登录的凭据,只要凭证有效,我认为用户已登录。
谢谢。
答
它的三个步骤完成:
- 绑定为具有足够的权限才能搜索目录管理用户。
- 搜索用户的目录。这是必要的,因为用户不会提供他的全部DN:他将提供别人对他自己的独特性,例如他的电子邮件地址,“屏幕名称”/绰号/别名等。
- 绑定为该用户提供的密码凭证。
如果其中任何一项失败,即包括(2),这是登录失败,并且请注意,您不告诉用户哪一步:您不告诉他'没有这样的用户'或'无效的密码”。你只是告诉他'无效凭证'或类似的两个。否则,你会将信息泄露给攻击者。