客户问我们是否支持单点登录(SSO)的LDAP身份验证。我用Google搜索并了解了一些关于LDAP的知识。
但是,我不明白我是否应该对作为应用程序提供给我的某些凭据运行bind操作,然后查找尝试登录的用户,或者我应该调用bind关于用户尝试通过我们的应用程序登录的凭据,只要凭据有效,我认为用户已登录。
谢谢。
答案 0 :(得分:2)
分三步完成:
如果其中任何一个失败,即包括(2),则登录失败,并注意您没有告诉用户哪一步:您没有告诉他'没有这样的用户'或'无效密码'。你只是告诉他'无效凭据'或类似的两者。否则,您将向攻击者泄露信息。