Cách tốt nhất để xác thực người dùng trong ứng dụng web

Question

Tôi đang tìm cách xác thực người dùng trong ứng dụng web, nhưng theo cách mà ứng dụng web chính không cần xử lý mật khẩu. Một cái gì đó giống như OpenId, nhưng máy chủ xác thực chắc chắn sẽ cần phải được lưu trữ trên một mạng nội bộ, các dịch vụ internet không thể được truy cập bởi máy chủ ứng dụng.

Môi trường của tôi là khá nhiều ứng dụng web Java, nhưng sẽ rất thú vị khi kết nối hệ thống với các loại ứng dụng khác.

Answer 1

Bạn có thể run your own OpenID server.

Bạn không đề cập đến môi trường của mình, nhưng một tùy chọn khác là sử dụng Xác thực Windows với Active Directory nếu bạn đang chạy trong tình huống miền Windows.

Answer 2

Luôn có một số loại LDAP nếu bạn không sử dụng máy chủ OpenID của riêng mình hoặc Windows Active Directory.

Answer 3

Bạn có muốn đăng nhập một lần giữa các ứng dụng không? (Tức là, nếu cùng một người dùng đang sử dụng nhiều ứng dụng web của bạn, nếu họ đăng nhập vào một ứng dụng, họ không cần đăng nhập lại khi họ chuyển sang một ứng dụng khác.)

Nếu có , có một số tùy chọn, cái mà tôi đã sử dụng rộng rãi là CAS (Dịch vụ xác thực trung tâm), được sử dụng rộng rãi trong các tổ chức giáo dục. Nó có nhiều thư viện máy khách cho nhiều ngôn ngữ và phần máy chủ là Java.

Điều này tất nhiên có thể được kết hợp với LDAP để cung cấp cả đăng nhập một lần và một kho lưu trữ thông tin xác thực người dùng duy nhất.