我有兩個獨立的自制應用程序需要相互溝通。一個是前端應用程序(實際上是asp.net),另一個是會計應用程序的後端接口。後端接口不是專門爲此前端創建的,它是許多其他應用程序用來與我們的產品集成的通用接口。Kerberos,代表團以及如何正確執行此操作?
爲方便用戶,我們希望在我們的前端應用程序中提供Windows身份驗證。這意味着我們需要將憑證傳遞給必須檢查它們的後端應用程序。
我們不希望將我們的前端設置爲後端的「可信」應用程序,它可以以任何用戶身份驗證自己。如果前端遭到黑客入侵,那麼它也會影響後端系統。
據我所知,使用Windows身份驗證的一種方法是Kerberos委派。然而,這需要爲要委派的用戶以及執行委託的機器(服務器與我們的前端)明確啓用。默認情況下,這些選項在Active Directory中處於禁用狀態,我懷疑許多系統管理員對於爲所有用戶啓用這些選項都有所保留。
此外,我不確定這是Kerberos代表團的意圖。我不需要我們的前端模擬正在連接的用戶。我只需要證明這個用戶已經向我證實了自己。
你會如何做到這一點?
什麼是後端身份驗證?你指出前端是Windows集成(所以是內聯網應用程序),但後端應用程序WIA也是? – 2009-10-28 15:04:56
Kerberos _is_爲此 - 例如,我們局域網上的用戶連接到一個網絡服務器,該網絡服務器依次連接到一個SQL Server_使用用戶credentials_。這允許我們根據用戶具有每個表/字段的權限。這裏的困難在於兩個系統都需要了解Kerberos委派 - 獲取各種令牌的網站以及後端根據相同權限驗證它們的網站。我不相信這會直接實現,但您可能能夠在用戶界面和後端之間設置代理感知代理。 – Basic 2013-03-07 19:12:42