我希望通过直接在表单字段中输入其AD凭据来请求用户对基于Intranet的Web应用进行身份验证的做法有一些反馈。例如,使用域\用户名和密码字段,而不是使用基于本机浏览器的质询窗口进行集成身份验证。在基于表单的示例中,凭据以纯文本格式传递给应用程序,这取决于应用程序的完整性来适当地处理数据。在我看来,这相当于将我的Open ID凭据直接输入到Internet上的主机应用程序中。
所以我的问题是:
在AD环境中,是否有关于对自定义Web应用程序(主要是.NET / Java堆栈)进行身份验证的最佳实践指南?
您能想到在任何真正必要的情况下吗?
这是一个合理的问题,还是我只是偏执?
最佳答案
在高度安全的环境中,仅在使用安全注意序列CTRL-ALT-DEL时才鼓励用户输入其凭据,该序列被设计为不会被应用程序拦截。
因此,在这样的环境中,即使是用于身份验证的浏览器质询窗口也可能会令人怀疑。相反,您将使用与访问网站相同的AD凭据在本地登录,并且无需进行提示即可进行身份验证。
我想说,如果还可以将凭据用于访问其他敏感资源,则在表单字段中输入AD凭据非常令人怀疑。即使应用程序开发人员的意图很好,这也是不必要的安全漏洞。例如,对Web目录具有写访问权的任何人都可以轻松替换登录表单并捕获凭据。