LDAP身份验证的用户名和密码

Question

客户问我们是否支持单点登录（SSO）的LDAP身份验证。我用Google搜索并了解了一些关于LDAP的知识。

但是，我不明白我是否应该对作为应用程序提供给我的某些凭据运行bind操作，然后查找尝试登录的用户，或者我应该调用bind关于用户尝试通过我们的应用程序登录的凭据，只要凭据有效，我认为用户已登录。

谢谢。

Answer 1

分三步完成：

1. 绑定为具有足够权限搜索目录的管理用户。
2. 在目录中搜索该用户。这是必要的，因为用户不会提供他的整个DN：他将提供其他独特的东西，例如他的电子邮件地址，“屏幕名称”/绰号/别名等。
3. 使用提供的密码凭据绑定为该用户。

如果其中任何一个失败，即包括（2），则登录失败，并注意您没有告诉用户哪一步：您没有告诉他'没有这样的用户'或'无效密码'。你只是告诉他'无效凭据'或类似的两者。否则，您将向攻击者泄露信息。