我有一个使用Windows身份验证的Web应用程序。我需要为不在活动目录中的用户添加一个带有密码字段(无用户名)的登录层。我该怎么办?
答案 0 :(得分:1)
仅密码(即无用户名)身份验证不是一个好主意,因为它只提供了一个简单的边界来对抗全局访问,并消除了问责,权限和可伸缩性的可能性。是否会为所有用户名较少的用户提供相同的密码?如果是这样,你应该如何处理更改所有用户的密码?如果您为每个新人提供自己的密码,您是否需要跟踪所有权?距离为每个人分配用户名并继续实施真正的身份验证只是一步之遥吗?这将是mistake to even attempt access control on a per-password basis。
你应该强烈重新考虑。为您的用户提供专门用于站点身份验证的AD帐户,但未获得系统上任何其他权限的许可,这是一种 更好的方法,因为它不会限制未来的可扩展性/发展,并且会提供实际的安全
答案 1 :(得分:0)
Windows身份验证需要用户名和密码才能进行身份验证。没有用户名,就无法完成。您需要第二个带有自定义身份验证提供程序的Web应用程序,或者考虑为这些类型的用户创建一个从属AD帐户,并以此方式锁定权限。