Web applications LDAP:Web应用程序和RBAC
我对LDAP工作方式的理解是,如果我错了,请纠正我,用户可以从他的计算机登录到LDAP并访问一组web应用程序,前提是他有这样做的权限并且凭据匹配 我正在创建一个web应用程序,并希望使用LDAP对其进行配置。因此,基于我的客户机,我应该使用LDAP API,并确保他拥有这样做所需的权限。然后Web applications LDAP:Web应用程序和RBAC,web-applications,https,ldap,rbac,Web Applications,Https,Ldap,Rbac,我对LDAP工作方式的理解是,如果我错了,请纠正我,用户可以从他的计算机登录到LDAP并访问一组web应用程序,前提是他有这样做的权限并且凭据匹配 我正在创建一个web应用程序,并希望使用LDAP对其进行配置。因此,基于我的客户机,我应该使用LDAP API,并确保他拥有这样做所需的权限。然后 LDAP是否也向我提供了登录到我的web应用程序的用户。在这种情况下,我可以与我的RBAC通信,并确定他拥有哪些权限 另外,LDAP是否以纯文本格式将其用户名和密码传递给我的web应用程序 我的web应
- LDAP是否也向我提供了登录到我的web应用程序的用户。在这种情况下,我可以与我的RBAC通信,并确定他拥有哪些权限
- 另外,LDAP是否以纯文本格式将其用户名和密码传递给我的web应用程序
- 我的web应用程序如何确保他是他声称的那个人(交叉检查他的用户名和密码)。HTTPS有助于明文密码通信,但它真的那么安全吗
- 身份验证不同于授权
- 身份验证是关于证明某人的某些东西,通常是证明某人的身份。我是鲍勃,因为我知道我的用户名和密码
- 授权是确定您将授予Bob的访问级别。有不同的授权(访问控制)范例。RBAC和ABAC是最流行的两种。RBAC使用角色、组和权限来确定用户是否应该获得访问权限。ABAC使用属性和策略
- LDAP不是身份验证机制,也不是授权机制。LDAP是一个用户目录。它包含有关用户的信息,通常包括用户名、全名、电子邮件、密码、组成员身份、角色信息等。。。存在标准化的LDAP对象,例如inetOrgPerson
- 用户名/密码组合是否有效
- 用户有哪些角色
- 用户拥有哪些组
- 或者更多。一旦知道了用户的ID(或LDAP术语中的DN),就可以查询LDAP以获取更多属性
- 身份验证不同于授权
- 身份验证是关于证明某人的某些东西,通常是证明某人的身份。我是鲍勃,因为我知道我的用户名和密码
- 授权是确定您将授予Bob的访问级别。有不同的授权(访问控制)范例。RBAC和ABAC是最流行的两种。RBAC使用角色、组和权限来确定用户是否应该获得访问权限。ABAC使用属性和策略
- LDAP不是身份验证机制,也不是授权机制。LDAP是一个用户目录。它包含有关用户的信息,通常包括用户名、全名、电子邮件、密码、组成员身份、角色信息等。。。存在标准化的LDAP对象,例如inetOrgPerson
- 用户名/密码组合是否有效
- 用户有哪些角色
- 用户拥有哪些组
- 或者更多。知道用户ID(或LDAP术语中的DN)后,可以查询LDAP以获取更多属性
- 你把几件事搞混了
下面是一个关于保护Java web应用程序安全的示例。您混淆了几件事