ldap身份验证登录仅适用于输入哈希密码
[英]ldap authentication login only works with typing in the hashed password
问题描述
我有一个带角度前端的nodejs应用程序。 当我想用用户名登录时,仅当我输入ssha哈希密码时才有效。 但是使用纯文本密码,我无法登录。
ldap客户端配置ist:
function auth(user, password, successFn){
var opts ={
scope: 'sub',
filter: '(&(objectClass=inetOrgPerson)(uid=' + user + '))',
};
var callback = function (err, res){
handleResult(collect, err, res);
};
var collect = {
list: [],
entry: function(entry){ this.list.push(entry); },
done: function(){
var correct = this.list.length == 1;
if ( correct ){
var pw = this.list[0].userPassword;
correct = (pw == password);
}
if ( correct ){
var role = this.list[0].employeeType;
successFn(role[0]);
}
else{
successFn(correct);
}
}
}
和
router.post('/login', function(req, res, next) {
var user = req.body.username;
var pw = req.body.password;
ldap.auth(user, pw, function(role){
if ( role ){
req.session.user = user;
req.session.userRole = role;
nodejs中的代码是否有问题,或者这是ldap服务器的配置错误? 我该如何解决呢?
1 个解决方案
解决方案1
0 2016-09-30 08:32:37
这似乎是一个主要的安全问题。 您的代码未使用LDAP身份验证(即LDAP绑定请求)。 它检索用户输入并将密码字段与用户输入进行比较。 但是大多数LDAP服务器都会对用户密码进行哈希处理以保护它。 我强烈建议更改auth方法以执行绑定以验证密码,然后收集角色。
如何使用 bcrypt 在寄存器中散列的密码检查登录密码?
[英]How to check check the password from login with the password hashed by bcrypt in register?
如果数据库中包含哈希密码,则可以在登录时在输入框中使用该哈希密码
[英]If hashed password is in DB can villain use that hashed password in input box in login
使用Passport和密码加密的NodeJS LDAP身份验证
[英]NodeJS LDAP authentication using Passport and password encryption
用户验证更改“注册用户哈希密码”,阻止登录
[英]User verification changing 'registered user hashed password', preventing login
如何从 firebase 身份验证 onCreate 触发器中获取用户的哈希密码和哈希盐?
[英]How to get a user's hashed password and hashed salt from firebase authentication onCreate trigger?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.