这是一个很长的镜头,但我认为值得一试。
我们设计了一个在jboss上运行的java servlet,并使用ldap进行身份验证(编辑:通过JAAS)。现在,客户希望为使用一次性生成密码的一些用户更改为半径身份验证。但仍然只有两个登录字段;用户名和密码。由于我们仍然需要来自ldap的用户信息,这是否可以在不牺牲安全性的情况下实现?我仍然需要在ldap中进行身份验证以获取用户上下文。但没有密码,我不知道如何。我可以为某些用户制作ldap联系半径吗?也许我应该说不,让他们接受三个字段,并在登录ldap后对半径进行额外检查。
答案 0 :(得分:1)
如果您正在使用JAAS,那么只需堆叠正确的LoginModule并进行配置即可。 http://www.ibm.com/developerworks/offers/lp/demos/summary/jaas.html?S_TACT=105AGX30&S_CMP=DEVXODD 简而言之,JAAS和我所知道的其他身份验证框架(例如Acegi / Spring Security)提供了一种方法来配置一组凭据(用户名/密码对,单点登记令牌等)以通过几个认证模块的最终决定非常灵活。此外,使用这些框架,您可以在另一个用户数据存储库认证之后从一个用户数据存储库中加载用户数据。