ldap身份驗證登錄僅適用於輸入哈希密碼
[英]ldap authentication login only works with typing in the hashed password
問題描述
我有一個帶角度前端的nodejs應用程序。 當我想用用戶名登錄時,僅當我輸入ssha哈希密碼時才有效。 但是使用純文本密碼,我無法登錄。
ldap客戶端配置ist:
function auth(user, password, successFn){
var opts ={
scope: 'sub',
filter: '(&(objectClass=inetOrgPerson)(uid=' + user + '))',
};
var callback = function (err, res){
handleResult(collect, err, res);
};
var collect = {
list: [],
entry: function(entry){ this.list.push(entry); },
done: function(){
var correct = this.list.length == 1;
if ( correct ){
var pw = this.list[0].userPassword;
correct = (pw == password);
}
if ( correct ){
var role = this.list[0].employeeType;
successFn(role[0]);
}
else{
successFn(correct);
}
}
}
和
router.post('/login', function(req, res, next) {
var user = req.body.username;
var pw = req.body.password;
ldap.auth(user, pw, function(role){
if ( role ){
req.session.user = user;
req.session.userRole = role;
nodejs中的代碼是否有問題,或者這是ldap服務器的配置錯誤? 我該如何解決呢?
1 個解決方案
解決方案1
0 2016-09-30 08:32:37
這似乎是一個主要的安全問題。 您的代碼未使用LDAP身份驗證(即LDAP綁定請求)。 它檢索用戶輸入並將密碼字段與用戶輸入進行比較。 但是大多數LDAP服務器都會對用戶密碼進行哈希處理以保護它。 我強烈建議更改auth方法以執行綁定以驗證密碼,然后收集角色。
如何使用 bcrypt 在寄存器中散列的密碼檢查登錄密碼?
[英]How to check check the password from login with the password hashed by bcrypt in register?
如果數據庫中包含哈希密碼,則可以在登錄時在輸入框中使用該哈希密碼
[英]If hashed password is in DB can villain use that hashed password in input box in login
使用Passport和密碼加密的NodeJS LDAP身份驗證
[英]NodeJS LDAP authentication using Passport and password encryption
用戶驗證更改“注冊用戶哈希密碼”,阻止登錄
[英]User verification changing 'registered user hashed password', preventing login
如何從 firebase 身份驗證 onCreate 觸發器中獲取用戶的哈希密碼和哈希鹽?
[英]How to get a user's hashed password and hashed salt from firebase authentication onCreate trigger?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.