是否可以保护基于 Active Directory(或其他 SSO)身份验证的秘密?
Is it possible to protect a secret based on Active Directory (or other SSO) Authentication?
我有一个应用程序,理想情况下,用户将使用 AD 登录。我还需要为每个用户存储一个加密密钥,在存储之前应该对其进行加密。
AD、kerberos 或任何社交 SSO 是否提供任何机制,可以根据我的 authentication/authorization 给我一个秘密,我可以用它来加密密钥?
或者与 DPAPI 相似但可以跨设备可靠工作的任何 API?
最后,在 AD 中存储未加密的加密密钥是否被视为不良做法?在我看来,bitlocker 正在有效地执行此操作。
我有一个应用程序,理想情况下,用户将使用 AD 登录。我还需要为每个用户存储一个加密密钥,在存储之前应该对其进行加密。
AD、kerberos 或任何社交 SSO 是否提供任何机制,可以根据我的 authentication/authorization 给我一个秘密,我可以用它来加密密钥?
或者与 DPAPI 相似但可以跨设备可靠工作的任何 API?
最后,在 AD 中存储未加密的加密密钥是否被视为不良做法?在我看来,bitlocker 正在有效地执行此操作。