ldap认证_ldap认证 管理员账户_ldap统一用户认证

LDAP通常被公司用作用户信息的中心资源库，同时也被当作一种认证服务。它也可以为应用用户储存角色信息。

这里有很多如何对LDAP服务器进行配置的场景，所以Spring Security的LDAP提供器也是完全可配置的。它使用为验证和角色检测提供了单独的策略接口，并提供了默认的实现，这些都是可配置成处理绝大多数情况。

你还是应该熟悉一下LDAP，在你在Spring Security使用它之前。下面的链接提供了很好的概念介绍，也是一个使用免费的LDAP服务器建立一个目录的指南。我们也应该熟悉一下通过JNDI API使用java访问LDAP。我们没有在LDAP提供器里使用任何第三方LDAP库（Mozilla, JLDAP等等），但是还是用到了Spring LDAP，所以如果你希望自己进行自定义，对这个工程熟悉一下也是有好处的。

Spring Security的LDAP认证可以粗略分成以下几部分。

从登录名中获得唯一的“辨别名称”或DN。这就意味着要对目录执行搜索，除非预先知道了用户名和DN之前的明确映射关系。

验证这个用户，进行绑定用户，或调用远程“比较”操作，比对用户的密码和DN在目录入口中的密码属性。

为这个用户读取权限队列。

例外情况是，当LDAP目录只是用来检索用户信息和进行本地验证的时候，这也许不可能的，因为目录的属性，比如对用户密码属性，常常被设置成只读权限。

你需要做的第一件事是配置服务器，它里面应该存放着认证信息。这可以使用安全命名空间里的<ldap-server>元素实现。使用url属性指向一个外部LDAP服务器：

    <ldap-server url="ldap://springframework.org:389/dc=springframework,dc=org" />
                
            

这个<ldap-server>元素也可以用来创建一个嵌入服务器，这在测试和演示的时候特别有用。在这种情况，你不需要使用url属性：

    <ldap-server root="dc=springframework,dc=org"/>
        
    

这里我们指定目录的根DIT应该是“dc=springframework,dc=org”，这是默认的。使用这种方式，命名空间解析器会建立一个嵌入Apache目录服务器，然后检索classpath下的LDIF文件，尝试从它里边把数据加载到服务器里。你可以通过ldif属性自定义这些行为，这样可以定义具体要加载哪个LDIF资源：

    <ldap-server ldif="classpath:users.ldif" />
        

这就让启动和运行LDAP变得更轻松了，因为使用一个外部服务器还是不大方便。它也避免链接到Apache目录服务器的复杂bean配置。如果使用普通Spring bean配置方变的更加混乱。你必须把必要的Apache目录依赖的jar放到你的程序中。这些都可以从LDAP示例程序中获得。

这是一个非常常见的LDAP认证场景。

    <ldap-authentication-provider user-dn-pattern="uid={0},ou=people"/>
                     

这个很简单的例子可以根据用户登录名提供的模式为用户获得DN，然后尝试和用户的登录密码进行绑定。如果所有用户都保存到一个目录的单独节点下就没有问题。如果你想配置一个LDAP搜索过滤器来定位用户，你可以使用如下配置：

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-24626-1.html