如何在不对密码进行硬编码的情况下从智能手机连接到LDAP?

时间:2012-09-26 07:00:38

标签: security ldap client-server hard-coding

我们的Android应用程序连接到LDAP数据库以获取身份验证和用户数据(电子邮件地址,电话号码等)。到目前为止,该应用已连接到一个中间件,该中间件打开与LDAP的连接并执行应用程序的操作。该应用程序只发送一个基本请求(如“验证用户,如果没有它就授予他们角色”),并且中间件设置为仅处理那些可能的请求。

现在,我们被要求跳过中间件,并直接从应用程序连接到LDAP。问题是,据我所知,没有办法硬编码应用程序中主LDAP用户的密码,我知道.apk文件很容易反编译。

有没有办法在不使用中间件的情况下从属于普通大众的手机上的客户端应用程序直接安全地连接到LDAP?

2 个答案:

答案 0 :(得分:1)

基本的想法是你匿名搜索用户,没有密码,然后使用你要求他的用户的密码(重新)连接(= LDAP绑定),而不是比任何硬编码到应用程序中的东西。

答案 1 :(得分:0)

我假设您也在使用SSL / TLS进行通信?如果没有,请做。