我有一个带角度前端的nodejs应用程序。当我想要与用户登录时,它只在我输入ssha哈希密码时才有效。但是使用纯文本密码我无法登录。
ldap客户端配置ist:
function auth(user, password, successFn){
var opts ={
scope: 'sub',
filter: '(&(objectClass=inetOrgPerson)(uid=' + user + '))',
};
var callback = function (err, res){
handleResult(collect, err, res);
};
var collect = {
list: [],
entry: function(entry){ this.list.push(entry); },
done: function(){
var correct = this.list.length == 1;
if ( correct ){
var pw = this.list[0].userPassword;
correct = (pw == password);
}
if ( correct ){
var role = this.list[0].employeeType;
successFn(role[0]);
}
else{
successFn(correct);
}
}
}
和
router.post('/login', function(req, res, next) {
var user = req.body.username;
var pw = req.body.password;
ldap.auth(user, pw, function(role){
if ( role ){
req.session.user = user;
req.session.userRole = role;
nodejs中的代码是否有问题,或者这是ldap服务器的配置错误?我该如何解决这个问题?
答案 0 :(得分:0)
这看起来像是一个主要的安全问题。 您的代码未使用LDAP身份验证(即LDAP绑定请求)。它检索用户条目并将密码字段与用户输入进行比较。 但是大多数LDAP服务器会散列用户密码以保护它。 我强烈建议更改auth方法以执行绑定以验证密码,然后收集角色。