我有一个(java)网络应用程序,我启用了NTLM身份验证。
当我们的(Windows)Intranet环境中的浏览器显示登录提示时。 我看到的行为是:
NTLM提示似乎根本没有进行任何身份验证,我可以在userid提示符中键入任何随机字符串,它允许用户进入应用程序。提示永远不会使用户失败。
那么,我需要在服务器端检查以查找身份验证是否成功?
答案 0 :(得分:1)
NTLM auth背后的想法是登录用户可以继续进行连接而无需再次明确输入用户名和密码。因此,无论您的应用程序询问您是什么都无关紧要(正如您自己可以看到的那样),而是使用您的系统凭据。
答案 1 :(得分:0)
NTLM authentication已被打破多年 - NTLM 2与NT 4一起发货,所以希望人们现在已经开始了。如果要使用Active Directory登录信息,则应使用Kerberos。