安全可靠地使用带有 LDAP 的 Flask 登录
Using Flask Login with LDAP safe and secure
我正在创建一个使用 LDAP 进行身份验证的登录页面。我也可以看到带有登录表单的 Flask 的 LDAP3 包。我正在寻找一种形式,门户开发人员(比如我或我们团队中的任何人)不应该能够添加任何打印语句并在有人登录时嗅探用户名和密码...
烧瓶形式将密码变量公开为纯字符串。即使它不公开,也可以在 flask_form 验证函数中放置一个打印语句。
是否有任何选项可用,例如将表单捆绑为二进制或 c-python 模块,开发人员根本无法选择嗅探凭据..
如果他们知道不可能或没有可用的选项,是否有任何其他框架(如 django)对这些用例有帮助?
根据设计,服务器端 LDAP 身份验证要求服务器从用户那里接收用户名和密码,并将该信息转发给 LDAP 服务器。这意味着开发人员可以插入一行记录所有凭据,从进程跟踪、转储内存等中获取密码。如果您不希望任何开发人员或系统管理员访问用户密码,请使用某种类型联合身份验证而不是 LDAP。
在联合身份验证方案中,用户针对某些其他来源(例如 ADFS)进行身份验证,您的应用程序会检查一个基本上表示 "this trusted other auth source says the person is Lisa" 的令牌。
我正在创建一个使用 LDAP 进行身份验证的登录页面。我也可以看到带有登录表单的 Flask 的 LDAP3 包。我正在寻找一种形式,门户开发人员(比如我或我们团队中的任何人)不应该能够添加任何打印语句并在有人登录时嗅探用户名和密码...
烧瓶形式将密码变量公开为纯字符串。即使它不公开,也可以在 flask_form 验证函数中放置一个打印语句。
是否有任何选项可用,例如将表单捆绑为二进制或 c-python 模块,开发人员根本无法选择嗅探凭据..
如果他们知道不可能或没有可用的选项,是否有任何其他框架(如 django)对这些用例有帮助?
根据设计,服务器端 LDAP 身份验证要求服务器从用户那里接收用户名和密码,并将该信息转发给 LDAP 服务器。这意味着开发人员可以插入一行记录所有凭据,从进程跟踪、转储内存等中获取密码。如果您不希望任何开发人员或系统管理员访问用户密码,请使用某种类型联合身份验证而不是 LDAP。
在联合身份验证方案中,用户针对某些其他来源(例如 ADFS)进行身份验证,您的应用程序会检查一个基本上表示 "this trusted other auth source says the person is Lisa" 的令牌。