我正在使用LDAP创建一个带有身份验证的登录页面。我也可以看到带有登录表单的烧瓶的 LDAP3 包。我正在寻找一种表单,其中门户的开发人员(例如我或我们团队中的任何人(应该无法添加任何打印语句并在有人登录时嗅探用户名和密码......
烧瓶窗体将密码变量公开为纯字符串。即使它没有公开,也可以在flask_form验证函数中放置一个打印语句。
是否有任何可用的选项,例如表单捆绑为二进制或 c-python 模块,开发人员根本没有选择嗅探凭据。.
如果不可能或没有可用的选项,那么像 django 这样的其他框架对这些用例有帮助吗?
根据设计,服务器端LDAP身份验证要求服务器从用户那里接收用户名和密码,并将该信息中继到LDAP服务器。这意味着开发人员可以插入一行,将所有凭据记录在某处,从进程跟踪中获取密码,转储内存等。如果您不希望任何开发人员或系统管理员访问用户密码,请使用某种类型的联合身份验证而不是 LDAP。
在联合身份验证方案中,用户对其他一些源(例如 ADFS(进行身份验证,而你的应用检查一个令牌,该令牌实质上是"这个受信任的其他身份验证源说此人是 Lisa"。