正在验证重置应用程序的用户Oracle密码

这是编程和系统管理的混合,但我认为它更像是一个编程问题。

当前正在构建用于管理Oracle用户帐户的密码管理Web应用程序(C)。

作用域要求在允许用户设置新密码之前验证用户的Oracle用户名和密码。如果不创建用户密码表(哈希或其他方式,这是一个安全风险),如何验证旧用户密码?

我当前的解决方案是尝试使用用户指定的用户名/密码连接到数据库。太多这样的尝试会将用户锁定在甲骨文端,因此暴力强迫并不太合理。我是否还有其他安全隐患,或者有更好的方法来处理?

我们使用ad作为主要身份验证,但是ad帐户与oracle帐户没有关联,所以这只是一个初步检查。

应用程序的流程(如果这有帮助):

1. 检查适当域(Intranet)的AD
2. 用户输入Oracle用户名/密码
3. 输入旧密码、新密码+确认
4. 如果正确,重置密码