我正在组织中将应用程序与LDAP集成。
我正在实现HTTPS,以将密码从前端发送到我的应用程序服务器,然后使用TLS将密码从我的应用程序服务器转发到LDAP服务器。这样可以确保密码在传输过程中的安全。
但是仍然存在我的应用程序服务器在将密码转发到LDAP服务器之前仍然能够以明文形式看到密码的问题。
如果我在前端对其进行哈希处理,则密码将与LDAP服务器上的密码不匹配。
为了将我的应用程序与LDAP集成在一起,这是我需要接受的风险吗?还是我以某种方式错误地实现了此目标?
我的应用程序服务器是python flask应用程序,我正在实现LDAP3。
提前感谢。
问题:
这是我需要接受以整合我的风险吗?LDAP的应用程序?是的。
使用大多数LDAP服务器实现所支持的SASL机制可以进行SASL身份验证,但是,这要求LDAP客户端(DUA)能够提供一个包含SASL机制名称和一组可选值的编码值。编码的SASL凭证。
也许您可以将SASL与ServerLess Architecture一起使用?
不管采用何种技术,任何基于密码的身份验证都要求用户提供凭据,在某些时候需要收集凭据,因此要承担这种风险。
OpenID Connect的使用可能会限制暴露,因此将其暴露给OpenID提供者的授权服务器;但风险仍然存在。
[WebAuthn消除了密码,可以选择。
-jim