【发布时间】:2026-01-07 15:10:01
【问题描述】:
我一直在为我们的内部网络创建身份验证和授权服务。该服务接受传入的 HTTP 请求并将它们代理到其他内部服务(主要是管理网站)。为了验证用户身份,我的服务使用 UnboundID SDK 通过 LDAP 连接到我们公司的 Microsoft Active Directory。然后,它根据用户所属组驱动的一组规则,授权用户使用管理网站中的不同资源/方法。我使用 BASIC auth(当然使用 SSL 和 LDAPS)很好地完成了所有这些工作。该服务是用 clojure/java 编写的,并在 linux 机器上的 jetty 中运行。
但是,我要求更多! :-) 我真正想要实现的是使用 Kerberos(或者可能是 NTLM)执行用户身份验证,因为我们的许多用户将在连接到公司域的 Windows PC 上。我想为这些用户提供适当的单点登录体验。
这是否可以通过与 UnboundID SDK 进行更多编码/集成来实现,还是我需要更改我的架构设置方式?
如果可能的话,你能举一些例子来说明我应该如何去做吗?或者提供关于如何在这种情况下使用 UnboundID SDK 的指针?在协商过程中,我还可以在正确的标头上提供一点帮助。如果不是,您会建议采用不同的方法吗?鉴于我一直在做的阅读,我有一种感觉,我想做的事情可能并不容易,甚至不可能。
【问题讨论】: