如何在Perl Dancer应用程序中改进身份验证

时间:2013-02-22 18:28:57

标签: web-services perl authentication active-directory dancer

我正在开发一个Perl Dancer Web应用程序,它需要在身份验证方面完成两件事:

  1. 基于Active Directory对用户进行身份验证以访问应用程序
  2. 以用户身份验证访问几个.NET Web服务。

    3. Apache在Linux机器上将应用程序作为CGI应用程序托管,我对Apache的配置无法控制。

    以下是当前正在运行的应用程序的工作流程:

    1. 向用户显示登录页面
    2. 当用户提交表单时,请使用Authen::Simple::ActiveDirectory验证帐户是否有效
    3. 使用Dancer::Session::Cookie(加密的Cookie)
      4. 存储用户的凭据
    4. 向用户显示搜索表单
    5. 当用户提交此表单时,使用Authen::NTLMSOAP::Lite访问.NET服务(类似于示例here)以执行搜索
    6. 向用户显示结果

      7. 这里对用户凭据的处理关系到我,但我通常是Web应用程序和身份验证的新手。对于小型内部应用程序,这没关系吗?如果没有,你如何建议我改进这个过程?就像我说的,上面提到的应用程序有效,但我觉得它可以/应该改进。

2 个答案:

答案 0 :(得分:1)

一个(部分)解决方案可能就是让你的apache webserver处理 认证。您可以使用Kerberos。 因此,只允许用户访问您的应用程序。在那里面 case $ENV{REMOTE_USER}包含用户名(例如foo.bar@MY.DOMAIN.COM)。

如果您需要有关当前用户的更多信息,可以查询LDAP(包含在您的域中)。我使用公共(LDAP)用户获取有关当前用户foo.bar@MY.DOMAIN.COM的更多信息。

我知道这只是第一部分。我没有使用SOAP来使用/传递Kerberos票证的经验。但是如果你想要处理这个问题,那么你就有了一个干净的SSO解决方案。

HTH

答案 1 :(得分:0)

我们在Apache配置中执行此操作。它需要类似下面的内容。您需要一个只读密码的用户来绑定到Active Directory。

    AuthName "Active Directory"
    AuthType Basic
    AuthBasicProvider ldap
    AuthLDAPUrl ldap://server:389/OU=COMPANY,DC=COMPANY,DC=com?sAMAccountName,mail,name,extensionAttribute2,memberOf?base?(objectClass=user)
    AuthzLDAPAuthoritative on
    AuthLDAPBindDN "CN=ReadOnlyUser,OU=ServiceAccounts,OU=Users,OU=XXX,OU=COMPANY,DC=COMPANY,DC=com"
    AuthLDAPGroupAttributeIsDN on 
    require valid-user
相关问题
最新问题