这可能是一个模糊的问题(抱歉),但我希望能够在没有用户名/密码的情况下验证我的 Web 应用程序。理想情况下,它类似于使用私钥和公钥组合的 SSH“无密码登录”。
为了澄清这是我的用例
- 我有一个标准的 Java EE webapp,它在 Tomcat 上运行“表单”登录。身份验证遵循操作系统。因此,如果 webapp 中的 user1 通过 ssh-ed 进入主机,则他们与 user1 的用户相同。
- 我有一个类似于 SSH 的命令行界面(即“cli user@host”,然后要求输入密码)
- 如果我可以显示用户是受信任的,我希望 CLI 自动登录。
我该怎么做呢?
我的一个想法是使用 ssh-keygen 方法(即无密码 ssh)。我不确定确切的细节,但我猜它会像这样工作。
- 在 CLI 登录中,我将使用本地私钥(即 ~/.ssh/id_dsa)来加密一些已知字符串。
- 用登录名发布
- 服务器通过它的每个“authorized_keys”(可能不是 ~/.ssh/ 中的那个,而是我的应用程序中的一个)并尝试解密字符串。如果它等于预期的字符串,那么 SUCCESS
注释?