我正在寻找一些关于请求用户通过直接在表单字段中输入他们的 AD 凭据来对基于 Intranet 的 Web 应用程序进行身份验证的做法的反馈。例如,使用域\用户名和密码字段而不是使用基于 native 浏览器的质询窗口进行集成身份验证。在基于表单的示例中,凭据以纯文本形式传递给应用程序,这基本上取决于应用程序的完整性以适本地处理数据。在我看来,这相当于将我的 Open ID 凭据直接输入到 Internet 上的主机应用程序中。
所以我的问题是:
- 是否有关于在 AD 环境中对自定义网络应用程序(假设主要是 .NET/Java 堆栈)进行身份验证的最佳实践指南?
- 您能想到真正有必要这样做的任何合法情况吗?
- 这是合理的担忧还是我只是多疑?!
最佳答案
在高度安全的环境中,将鼓励用户仅在使用 安全注意序列 CTRL-ALT-DEL 时输入其凭据,该序列的设计使其不会被应用程序拦截.
因此在这样的环境中,即使是用于身份验证的浏览器质询窗口也会受到怀疑。相反,您将使用访问该网站所需的相同 AD 凭据在本地登录,并且无需提示即可通过身份验证。
如果凭据也可用于访问其他敏感资源,我会说在表单字段中输入 AD 凭据是非常可疑的。即使应用程序开发人员是出于好意,这也是一个不必要的安全漏洞。例如,任何对 Web 目录具有写入权限的人都可以轻松替换登录表单并捕获凭据。
关于java - 使用 AD 凭据输入表单字段而不是浏览器集成身份验证窗口的不良做法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1169123/