关于LDAP用户登录后存储用户密码风险

[l20f111164]

如上所示，集成LDAP用户后，用户登录后，管理后台页面会显示登录过用户的明文密码，这个是有很大信息安全风险的，在公司有些领导密码可以通过这个套现出来，一般LDAP都跟用户电脑密码挂钩的，建议去掉这个功能，只管将密码传递给LDAP认证就行，不要对LDAP用户密码进行存储.

[witersen]

你好，其实加上这个是为了支持svn用户在svnadmin系统中进行web浏览。因此有利有弊。已经考虑后续把这个功能做成可选项了。

[wzqiang1332]

所有需要认证的地方调ldap认证，不应该保存用户输入的明文密码，如果是必须要用到密码的地方，我觉得可以在导入时生成随机密码，认证的时候调用ldap认证后再使用先前随机密码进行后续操作，不知道是否可行

[longyn]

@witersen 请问下这个有没有快速隐藏的办法，这是个比较严重的风险，管理员不能知道LDAP用户的密码，不然可以跨系统做非法操作