如何确保使用您的域凭据登录的应用程序不会存储您的密码？

Question

有多个应用程序使用您的域凭据进行登录。例如：自定义企业应用程序。您如何确保此类应用程序不会存储您的密码？

我问这个问题的原因是：如果您正在设计一个执行相同操作的应用程序，您如何说服用户可以信任您的应用程序不会存储密码？

Answer 1

如果您使用了标准的基于 AD 的 Windows 身份验证，他们不应该拥有您的密码，但他们肯定可以使用您的用户上下文执行操作。

如果您使用标准 Windows 身份验证提供用户名/密码来登录，那么您无法确定他们没有保存该用户名/密码。

如果 Windows 身份验证颁发的登录令牌过期了，这可能是一个不同的故事，但我不相信这就是它的工作原理，并且对于第二种情况肯定仍然毫无用处。

Answer 2

如果您确实希望用户确定您的应用没有保留他们的密码，请不要使用他们的密码。

Microsoft Active Directory 域登录使用 Kerberos。 Kerberos 是一种 SSO 解决方案；应用程序可以使用用户的 Kerberos 凭据，而无需用户再次输入密码。应用程序获得的凭据可能仅在用户的 Kerberos 票证有效期内有效 - 可能最多一周。

如果您有一个 Web 应用程序，它也可以通过 SPNEGO 参与到温暖的善良中。您可能已经以 Sharepoint 网站的形式看到了这一点，如果您位于公司域中，则不需要登录。