Есть несколько приложений, которые используют учетные данные вашего домена для входа в систему. Например: Пользовательские корпоративные приложения. Как вы гарантируете, что такие приложения не сохранят ваш пароль?
Причина, по которой я спрашиваю об этом, заключается в следующем: если вы разрабатываете приложение, которое делает то же самое, как вы убедите пользователя, что вашему приложению можно доверять и не хранить пароль?
Если вы действительно хотите, чтобы пользователь был уверен, что ваше приложение не хранит его пароль, не используйте его пароль.
Вход в домен Microsoft Active Directory использует Kerberos. Kerberos — это решение SSO; приложение может использовать учетные данные пользователя Kerberos, не требуя, чтобы пользователь ввел свой пароль во второй раз. Учетные данные, полученные приложением, могут быть действительны только в течение срока действия билета Kerberos пользователя — возможно, не более недели.
Если у вас есть веб-приложение, оно тоже может принять участие в теплых делах через SPNEGO. Возможно, вы видели это в виде сайтов Sharepoint, которые не требуют входа в систему, если вы находитесь в домене компании.
Если вы использовали стандартную аутентификацию Windows на основе AD, у них не должно быть вашего пароля, но они, безусловно, могут выполнять действия, используя ваш пользовательский контекст.
Если вы предоставляете имя пользователя/пароль для входа в систему, используя стандартную аутентификацию Windows, вы не можете быть уверены, что они не сохранили это.
Если бы аутентификация Windows выдавала токены входа с истекшим сроком действия, это могла бы быть другая история, но я не верю, что это работает так, и, конечно, во втором случае все равно будет бесполезно.
