我相信 javascript 仅限于使用 HTTP,但我很好奇是否有任何东西可以使 chrome 应用程序从客户端进行 LDAP 查询(无需通过我的网络服务器连接到LDAP 并检查凭据)。我的目标是让用户使用其网络凭据登录到内部 Web 应用程序,而无需等待我的服务器建立 HTTPS 连接。
此外,这样的设置是否存在任何安全问题?
最佳答案
Chrome 应用确实能够满足您的需求。您可以使用 chrome.socket API 直接与 LDAP 服务器建立连接。
但是,您的问题引发了一些警报。如果您的客户端代码单独检查 LDAP 的凭据,并查询 Web 应用程序的内容,那么如何阻止恶意或有缺陷的客户端跳过 LDAP 步骤并在未经授权的情况下直接从 Web 应用程序获取内容?如果您的 Web 应用程序仅假定受信任的客户端,那么为什么还要实际检查 LDAP?在现实生活中,这种设计就像递给银行出纳员一张纸条,上面写着“我不需要向您出示我的身份证件,因为我保证我已经向驻扎在银行外的保安人员出示了它。请把所有的钱都给我”在我的账户里。”凭证检查(无论是 LDAP 还是其他方式)由 Web 应用程序在 HTTP/HTTPS 后面完成,更为常见且安全。 (OAuth 就其机制而言是另一个故事,但原则上是相同的。)
“无需等待我的服务器建立 HTTPS 连接”:根本不清楚您的意思。 HTTPS 与身份验证无关(除非它确认服务器是可信的)。您真的是指 SSL 握手速度吗? SSL 握手通常为 200-500 毫秒。除非您的用例是不寻常的用例,否则这段时间并不重要。再说一遍,通常部署的 HTTPS 是传输安全性,与客户端身份验证无关。即使您找到了一种非标准但有效的方法来验证客户端,您仍然希望对话通过 SSL 进行,除非内容确实不敏感(在这种情况下,您可能不需要 Intranet 客户端验证)第一名)。
还有更多问题悬而未决,但您尚未充分解释您的用例。
TL;DR:是的,您可以使用 Chrome 应用来执行此操作。但是,是的,这种设计存在许多安全问题。
关于javascript - 来自 Chrome 应用程序的 LDAP 查询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18596625/