我正在组织中将应用程序与LDAP集成。
我正在实现HTTPS,以将密码从前端发送到我的应用程序服务器,然后使用TLS将密码从我的应用程序服务器转发到LDAP服务器。这样可以确保密码在传输过程中的安全。
但是,仍然存在我的应用程序服务器在将密码转发到LDAP服务器之前仍然能够以明文形式看到密码的问题。
如果我在前端对其进行哈希处理,则密码将与LDAP服务器上的密码不匹配。
为了将我的应用程序与LDAP集成在一起,这是我需要接受的风险吗?还是我以某种方式错误地实现了此目的?
我的应用程序服务器是python flask应用程序,我正在实现LDAP3。
谢谢。
问题:
这是我整合我需要接受的风险吗? LDAP的应用程序? 是的。
大多数LDAP服务器实现都支持使用SASL机制来进行SASL身份验证,但是,这要求LDAP客户端(DUA)能够提供包含SASL机制名称和可选集的编码值。编码的SASL凭证。
也许您可以将SASL与ServerLess Architecture一起使用?
无论采用何种技术,任何基于密码的身份验证都将要求用户提供凭据,而在某些时候需要收集凭据,因此存在这种风险。
使用OpenID Connect可能会限制曝光,因此将其暴露给OpenID提供者的授权服务器;但风险仍然存在。
WebAuthn删除了密码,可以选择。
-吉姆