使用LDAP的Web App安全性

Question

在设计我的网络应用时，我总是使用数据库实现用户身份验证，例如MySQL的。

但是，您不时会听到LDAP服务器身份验证等等。后者是否提供比普通的旧DB支持的身份验证更好的安全性？如果是这样，开发人员在什么情况下需要考虑使用AD进行身份验证;如果不是为什么需要呢？

我对单纯的辩论不感兴趣。我只想向经验丰富的程序员和专家学习。

感谢。

Answer 1

它旨在存储用户：

1. 您的应用程序不必存储凭据，组等，您可以将责任外包
2. 如果您有一个用户来源，您可以将多个公司的应用程序连接到它（邮件，计费系统，门禁系统等），并在您的员工失去许可时立即拒绝所有这些地方的拨款（例如退出公司） 。您还可以在一个地方为公司的每个应用程序管理拨款。您的数据库仅影响您的应用程序
3. ldap应该比db更快，因为它不支持事务

Answer 2

我同意Piotrek使用LDAP目录而不是DB的好处。

LDAP目录有几种保护凭证的机制，包括强散列方案，因此您无需在应用程序中实现它们。

我想指出，使用LDAP目录服务器并不总是意味着使用AD。 AD经常在企业中用于集中凭据和身份验证，但不允许存储特定于webApps的任何其他内容。

但作为一般性建议，我建议停止尝试为凭据创建任何数据存储。应用程序应将身份验证委派给基于标准的专用身份验证服务，或重用社交登录。 OpenID Connect协议就是为此而设计的。然后，将与用户相关的应用程序特定数据存储在专用数据库（即MySQL）中是完全正确的。