这是一个很长的镜头,但我认为值得一试。
我们设计了一个在 jboss 上运行并使用 ldap 进行身份验证的 java servlet(编辑:通过 JAAS)。现在,客户希望为一些使用一次性生成密码的用户更改为 radius 身份验证。但仍然只有两个登录字段;用户名和密码。由于我们仍然需要来自 ldap 的用户信息,这是否可能在不牺牲安全性的情况下实现?我仍然需要在 ldap 中进行身份验证以获取用户上下文。但没有密码,我不知道如何。我可以为某些用户设置 ldap 联系半径吗?也许我应该说不,让他们在登录 ldap 后接受三个字段和对半径的额外检查。
如果您使用的是 JAAS,那么只需堆叠正确的 LoginModules 并配置它们。 http://www.ibm.com/developerworks/offers/lp/demos/summary/jaas.html?S_TACT=105AGX30&S_CMP=DEVXODD 简而言之,JAAS 和我知道的其他身份验证框架(例如 Acegi/Spring Security)提供一种配置单组凭据(用户名/密码对、单点登录令牌等)以通过多个身份验证模块传递的方法,最终决定非常灵活。此外,使用这些框架,您可以在另一个用户数据存储库进行身份验证后从一个用户数据存储库加载用户数据。