通过Kerberos使用Active Directory进行身份验证

Question

我正在构建一个需要不同级别身份验证的Android应用程序,我想使用Active Directory这样做.

根据我的阅读,使用Kerberos是微软建议的方式.我该如何为Android做这个？我看到了javax.security.auth doc,但它并没有告诉我太多.

我还看到某个地方Kerberos不包含用户组 - 这是真的吗？在那种情况下,我是否必须以某种方式组合LDAP？

编辑

这里的主要目标是实现与活动目录的LDAP连接,以便对企业Android应用程序进行身份验证并为用户提供正确的权限.这里的真正障碍是Google将许多Java Web Services API从它的端口遗漏到了android.(javax.naming也),Android jar中的许多连接机制似乎只包含在遗留代码中,实际上它们实际上什么都不做.

Answer 1

为此，您可能最好完全留在 LDAP 中，而不要冒险进入 kerberos。Kerberos 为您提供了单点登录的优势，但由于您的 Android 应用程序没有任何凭据，因此它并不能真正帮助您。我猜谷歌有他们自己的理由不将 javax.naming 包含到发行版中。这是相当重的东西。

您可以自己从 java 运行时库源移植这些内容，或者最好使用本机 LDAP 库。比如这个。

请记住使用安全 LDAP 连接或至少使用安全身份验证方法。有关此内容的更多信息请参见此处。