我对LDAP身份验证的工作方式感到惊讶,这似乎非常不安全。
因此,基本上,我们有一个API可通过LDAP服务器对用户进行身份验证。我们正在将用户名和密码传递给该API,并在后端将其与ldap服务器一起验证并返回成功或失败,并且这种情况在我们大多数内部应用程序和工具中都会发生。
但这不是很不安全吗?如果我可以访问任何应用程序的生产实例,则可以将print语句放在request.body部分中,并查看任何人的凭据。 LDAP凭据被视为员工的大多数机密信息。
因此,我的问题是:通过LDAP验证是否正确?每个人都这样吗?如果没有,我们如何确保这一点?
请让我知道是否需要提供更多信息。