我正在管理一组几乎完全用PHP编写的Web应用程序,并希望找到一个身份验证平台来构建基于角色的授权系统.此外,我希望身份验证系统可以扩展用于,例如,系统服务(SSH等)
以下是我正在寻找的一些主要特征,按重要性排序:
>轻松实现PHP(轻松存储/阅读角色等).
>如果可能的话,冗余.如果auth系统出现故障,则所有人都不会被锁定.
>拥有适用于Windows和Mac的客户端.
>简单的基于Web的管理(添加/删除用户/角色,更改密码).如果没有,我可以毫不费力地建立一个管理系统.
>一次性登录.
我还希望,当发出身份验证令牌时,存储用户的IP地址并使用该地址来授权用户使用某些非基于Web的应用程序.出于这个原因,我希望桌面客户端发出令牌并撤销令牌,例如,当用户在他们的工作站处空闲时.
我认为Kerberos可能是一个解决方案,但还有什么其他选择?
解决方法:
如果我这样做,我实际上在过去的几个点上,我会使用Kerberos和LDAP的组合. Kerberos处理身份验证并为用户提供令牌. LDAP提供授权;有关组成员资格,用户联系信息等的信息
Kerberos经过了非常,非常好的测试和广泛部署.要使用Kerberos保护Web应用程序,请使用Apache的mod_krb5或类似Stanford WebAuth的解决方案.用户对Kerberos进行一次身份验证,然后他们的浏览器将通过SPNEGO使用该票证自动将其登录到Web应用程序.如果您有Windows Active Directory域,那么您的用户已经拥有可以在其计算机登录会话中使用的Kerberos票证!
许多其他网络服务器程序也支持Kerberos,例如OpenSSH,各种IPSEC VPN工具,电子邮件(包括SMTP和IMAP),XMPP(Jabber)聊天等.
Kerberos基础结构可以像您一样冗余,并且您可以按照自己的喜好进行组织.领域可以有许多服务器提供身份验证,并且可以以任意方式相互信任.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
