在哪里使用webclient和LDAP进行哈希

我们目前正在实现几个web应用程序，这些应用程序要求用户创建一个将通过LDAP调用进行身份验证的用户登录。LDAP服务器和用户帐户将由所有应用程序共享，并且用户的凭据在所有应用程序中都是相同的

我的问题是，在标准LDAP场景中，哈希是在客户端发生的，还是由LDAP服务器处理的。据我所知，LDAP服务器在创建时接收用户密码，并对其进行散列和存储。（到目前为止，我们计划在客户端>Web服务器>LDAp服务器之间使用salted SHA512哈希和SSL连接）

---

据我所知，散列操作集中在LDAP服务器上进行，减轻了客户端的麻烦，避免了客户端的任何破坏，从而影响到其他应用程序。

现代、专业质量的服务器使用密码属性存储方案（通常是

userPassword

和

authPassword

）这涉及在服务器上执行哈希。服务器通常会在密码中附加或前置一个唯一的值（称为salt），然后执行哈希函数。“salt”最小化了字典攻击的有效性，也就是说，对于salt、hash密码，字典更难创建

应使用SSL（安全连接），或者应使用StartTLS扩展请求提升非安全连接。应使用加密连接，以便通过绑定请求以明文形式传输密码。服务器的密码策略执行机制可以检查通过安全连接以明文形式传输的密码的历史记录和质量。对于强制执行密码历史记录和质量检查的服务器，不应传输预先编码的密码。因此，对于LDAP客户机来说，与其说是“麻烦”，不如说是因为服务器可以在整个组织范围内，并同意在中心位置进行密码质量和历史检查

另见

---

谢谢你，特里！这很有帮助。