代理HTTP摘要认证请求到LDAP服务器
最近我们一直在研究一个项目,该项目将我们的Tomcat Web服务器与移动设备上的几项特定服务集成在一起。 我们在与设备进行交互(通过HTTP)过程中可以做的一件事就是让设备提示用户输入凭据。 在用户输入他们的凭证后,我们的服务器会收到一个包含标准HTTP摘要验证头的HTTP帖子(包含nonce,领域,响应等的授权头)。 那里没有什么大的惊喜。
我们的服务器(按设计)实际上并不包含任何用户的密码。 我们保留其密码的SHA512散列。 对于本地用户,我们可以在登录应用程序时开始存储“username:realm:password”的MD5。 当你不存储密码时,这是处理摘要验证的常用方式吗?
更重要的是,我们通过我们编写的用于验证的一些JNDI代码与LDAP服务器进行交互。 由于设备被强制通过http进行身份验证,摘要是唯一支持的授权方法,因此我们似乎无法找到使用摘要响应通过LDAP对用户进行身份验证的方法。 从概念上讲,你可以“代理”一个摘要请求并不是真的。 是否有一个工作流程可以实现这种“通过”身份验证,如果是这样的话,这甚至是一个好主意吗?
谢谢!
一种方法可能是在客户端和服务器之间通过HTTPS使用简单身份验证,然后在LDAP服务器上使用密码。 您不需要存储密码,因为它将在每次登录时由客户端提供。 例如,您可以根据存储的SHA512(password)
验证密码,然后将清除密码传递给LDAP服务器。
如果您无法使用HTTPS,或者服务器不知道密码,则事情更加复杂,因为您无法从提供的MD5摘要计算SASL响应(除非LDAP服务器使用已过时的DIGEST-MD5机制) 。 在这种情况下,您可以代理LDAP服务器和客户端之间的整个SASL认证交换,并让客户端通过AJAX发送响应。 然后,密码的知识将被限制在客户端。
链接地址: http://www.djcxy.com/p/3797.html上一篇: Proxy HTTP digest authentication request to LDAP server