论坛首页 → Java企业应用论坛 →

Spring Security LDAP认证

全部 Hibernate Spring Struts iBATIS 企业应用 Lucene SOA Java综合 Tomcat 设计模式 OO JBoss

浏览 15857 次

锁定老帖子主题：Spring Security LDAP认证精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者	正文
duanjiangong 等级: 初级会员性别: 文章: 2 积分: 70 来自: 北京	发表时间：2010-01-06 相关推荐: 浅谈Spring Security LDAP简介 Spring Security3.2搭建LDAP认证授权 Spring Security Ldap 登录认证流程的源码梳理使用 Spring Security LDAP 实现身份验证 Spring Security Ldap 登录认证实现更多相关推荐 Spring 10.1. 综述 LDAP通常被公司用作用户信息的中心资源库，同时也被当作一种认证服务。它也可以为应用用户储存角色信息。这里有很多如何对LDAP服务器进行配置的场景，所以Spring Security的LDAP提供器也是完全可配置的。它使用为验证和角色检测提供了单独的策略接口，并提供了默认的实现，这些都是可配置成处理绝大多数情况。你还是应该熟悉一下LDAP，在你在Spring Security使用它之前。下面的链接提供了很好的概念介绍，也是一个使用免费的LDAP服务器建立一个目录`http://www.zytrax.com/books/ldap/` 的指南。我们也应该熟悉一下通过JNDI API使用java访问LDAP。我们没有在LDAP提供器里使用任何第三方LDAP库（Mozilla, JLDAP等等），但是还是用到了Spring LDAP，所以如果你希望自己进行自定义，对这个工程熟悉一下也是有好处的。 10.2. 在Spring Security里使用LDAP Spring Security的LDAP认证可以粗略分成以下几部分。从登录名中获得唯一的“辨别名称 ”或DN。这就意味着要对目录执行搜索，除非预先知道了用户名和DN之前的明确映射关系。验证这个用户，进行绑定用户，或调用远程“比较 ”操作，比对用户的密码和DN在目录入口中的密码属性。为这个用户读取权限队列。例外情况是，当LDAP目录只是用来检索用户信息和进行本地验证的时候，这也许不可能的，因为目录的属性，比如对用户密码属性，常常被设置成只读权限。让我们看看下面的一些配置场景。要是想得到所有可用的配置选项，请参考安全命名空间结构（使用你的XML编辑器应该就可以看到所有有效信息）。 10.3. 配置LDAP服务器你需要做的第一件事是配置服务器，它里面应该存放着认证信息。这可以使用安全命名空间里的`<ldap-server>` 元素实现。使用`url` 属性指向一个外部LDAP服务器： <ldap-server url="ldap://springframework.org:389/dc=springframework,dc=org" /> 10.3.1. 使用嵌入测试服务器这个`<ldap-server>` 元素也可以用来创建一个嵌入服务器，这在测试和演示的时候特别有用。在这种情况，你不需要使用`url` 属性： <ldap-server root="dc=springframework,dc=org"/> 这里我们指定目录的根DIT应该是“dc=springframework,dc=org ”，这是默认的。使用这种方式，命名空间解析器会建立一个嵌入Apache目录服务器，然后检索classpath下的LDIF文件，尝试从它里边把数据加载到服务器里。你可以通过`ldif` 属性自定义这些行为，这样可以定义具体要加载哪个LDIF资源： <ldap-server ldif="classpath:users.ldif" /> 这就让启动和运行LDAP变得更轻松了，因为使用一个外部服务器还是不大方便。它也避免链接到Apache目录服务器的复杂bean配置。如果使用普通Spring bean配置方法会变的更加混乱。你必须把必要的Apache目录依赖的jar放到你的程序中。这些都可以从LDAP示例程序中获得。 10.3.2. 使用绑定认证这是一个非常常见的LDAP认证场景。 <ldap-authentication-provider user-dn-pattern="uid={0},ou=people"/> 这个很简单的例子可以根据用户登录名提供的模式为用户获得DN，然后尝试和用户的登录密码进行绑定。如果所有用户都保存到一个目录的单独节点下就没有问题。如果你想配置一个LDAP搜索过滤器来定位用户，你可以使用如下配置： <ldap-authentication-provider user-search-filter="(uid={0})" user-search-base="ou=people"/> 如果使用了上面的服务器定义，它会在DN`ou=people,dc=springframework,dc=org` 下执行搜索，使用`user-search-filter` 里的值作为过滤条件。然后把用户登录名作为过滤名称的一个参数。如果没有提供`user-search-base` ，搜索将从根开始。 10.3.3. 读取授权如果从LDAP目录的组里读取权限信息呢，这是通过下面的属性控制的。 `group-search-base` 。定义目录树部分，哪个组应该执行搜索。 `group-role-attribute` 。这个属性包含了组入口中定义的权限名称。默认是 `cn` `group-search-filter` 。这个过滤器用来搜索组的关系。默认是`uniqueMember={0}` ，对应于`groupOfUniqueMembers` LDAP类。在这情况下，取代参数是用户的辨别名称。如果你想对登录名搜索，可以使用`{1}` 这个参数。因此，如果我们使用下面进行配置 <ldap-authentication-provider user-dn-pattern="uid={0},ou=people" group-search-base="ou=groups" /> 并以用户“ben ”的身份通过认证，在读取权限信息的子流程里，要在目录入口`ou=groups,dc=springframework,dc=org` 下执行搜索，查找包含`uniqueMember` 属性值为`ou=groups,dc=springframework,dc=org` 的入口。默认，权限名都要以`ROLE_` 作为前缀。你可以使用`role-prefix` 属性修改它。如果你不想使用任何前缀，可以使用`role-prefix="none"` 。要想得到更多读取权限的信息，可以查看`DefaultLdapAuthoritiesPopulator` 类的Javadoc。 10.4. 实现类我们上面使用到的命名空间选项很容易使用，也比使用spring bean更准确。也有可能你需要知道如何配置在你的application context里配置Spring Security LDAP目录。比如，你可能想自定义一些类的行为。如果你想使用命名空间配置，你可以跳过这节，直接进入下一段。最主要的LDAP提供器类是`org.springframework.security.providers.ldap.LdapAuthenticationProvider` 。这个bean自己没做什么事情，而是代理了其他两个bean的工作，一个是`LdapAuthenticator` ，一个是`LdapAuthoritiesPopulator` ，用来处理用户认证和检索用户的`GrantedAuthority` 属性集合。 10.4.1. LdapAuthenticator实现验证者还负责检索所有需要的用户属性。这是因为对于属性的授权可能依赖于使用的验证类型比如，如果对某个用户进行绑定，它也许必须通过用户自己的授权才能进行读取。当前Spring Security提供两种验证策略：直接去LDAP服务器验证（“绑定”验证）。比较密码，将用户提供的密码与资源库中保存的进行比较。这可以通过检索密码属性的值并在本地检测，或者执行LDAP“比较”操作，提供用来比较的密码是从服务器获得的，绝对不会检索真实密码的值。 10.4.1.1. 常用功能在认证一个用户之前（使用任何一个策略），辨别名称（DN）必须从系统提供的登录名中获得。这可以通过，简单的模式匹配（设置setUserDnPatterns 数组属性）或者设置userSearch 属性。为了实现DN模式匹配方法，一个标准的java模式格式被用到了，登录名将被参数`{0}` 替代。这个模式应该和DN有关系，并绑定到配置好的`SpringSecurityContextSource` （看看链接到LDAP服务器那节，获得更多信息）。比如，如果你使用了LDAP服务的URL是`ldap://monkeymachine.co.uk/dc=springframework,dc=org` ，并有一个模式`uid={0},ou=greatapes` ，然后登录名"gorilla"会映射到DN`uid=gorilla,ou=greatapes,dc=springframework,dc=org` 。每个配置好的DN模式将尝试进行定位，直到有一个匹配上。使用搜索获得信息，看看下面的安全对象那节。两种方式也可以结合在一起使用 - 模式会先被检测一下，然后如果没有找到匹配的DN，就会使用搜索。 10.4.1.2. BindAuthenticator 这个类 `org.springframework.security.providers.ldap.authenticator.BindAuthenticator` 实现了绑定认证策略。它只是尝试对用户进行绑定。 10.4.1.3. PasswordComparisonAuthenticator 这个类 `org.springframework.security.providers.ldap.authenticator.PasswordComparisonAuthenticator` 实现了密码比较认证策略。 10.4.1.4. 活动目录认证除了标准LDAP认证以外（绑定到一个DN），活动目录对于用户认证提供了自己的非标准语法。 10.4.2. 链接到LDAP服务器上面讨论的bean必须连接到服务器。它们都必须使用`SpringSecurityContextSource` ，这个是Spring LDAP的一个扩展。除非你有特定的需求，你通常只需要配置一个`DefaultSpringSecurityContextSource` bean，这个可以使用你的LDAP服务器的URL进行配置，可选项还有管理员用户的用户名和密码，这将默认用在绑定服务器的时候（而不是匿名绑定）。参考Spring LDAP的`AbstractContextSource` 类的Javadoc获得更多信息。 10.4.3. LDAP搜索对象通常，比简单DN匹配越来越复杂的策略需要在目录里定位一个用户入口。这可以使用`LdapUserSearch` 的一个示例，它可以提供认证者实现，比如让他们定位一个用户。提供的实现是`FilterBasedLdapUserSearch` 。 10.4.3.1. `FilterBasedLdapUserSearch` 这个bean使用一个LDAP过滤器，来匹配目录里的用户对象。这个过程在javadoc里进行过解释，在对应的搜索方法，JDK DirContext class 。就如那里解释的，搜索过滤条件可以通过方法指定。对于这个类，唯一合法的参数是`{0}` ，它会代替用户的登录名。 10.4.4. LdapAuthoritiesPopulator 在成功认证用户之后，`LdapAuthenticationProvider` 会调用配置好的`LdapAuthoritiesPopulator` bean，尝试读取用户的授权集合。这个`DefaultLdapAuthoritiesPopulator` 是一个实现类，它将通过搜索目录读取授权，查找用户成员所在的组（典型的这会是目录中的`groupOfNames` 或`groupOfUniqueNames` 入口）。查看这个类的Javadoc获得它如何工作的更多信息。 10.4.5. Spring Bean配置典型的配置方法，使用到像我们这在里讨论的这些bean，就像这样： <bean id="contextSource" class="org.springframework.security.ldap.DefaultSpringSecurityContextSource"> <constructor-arg value="ldap://monkeymachine:389/dc=springframework,dc=org"/> <property name="userDn" value="cn=manager,dc=springframework,dc=org"/> <property name="password" value="password"/> </bean> <bean id="ldapAuthProvider" class="org.springframework.security.providers.ldap.LdapAuthenticationProvider"> <constructor-arg> <bean class="org.springframework.security.providers.ldap.authenticator.BindAuthenticator"> <constructor-arg ref="contextSource"/> <property name="userDnPatterns"> <list><value>uid={0},ou=people</value></list> </property> </bean> </constructor-arg> <constructor-arg> <bean class="org.springframework.security.ldap.populator.DefaultLdapAuthoritiesPopulator"> <constructor-arg ref="contextSource"/> <constructor-arg value="ou=groups"/> <property name="groupRoleAttribute" value="ou"/> </bean> </constructor-arg> </bean> 这里建立了一个提供器，访问LDAP服务，URL是 `ldap://monkeymachine:389/dc=springframework,dc=org` 。认证会被执行，尝试绑定这个DN `uid=<user-login-name>,ou=people,dc=springframework,dc=org` 。在成功认证之后，会通过查找下面的DN `ou=groups,dc=springframework,dc=org` 使用默认的过滤条件 `(member=<user's-DN>)` ，将角色分配给用户。角色名会通过每个匹配的“ou ”属性获得。要配置用户的搜索对象，使用过滤条件 `(uid=<user-login-name>)` 替代DN匹配（或附加到它上面），你需要配置下面的bean <bean id="userSearch" class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch"> <constructor-arg index="0" value=""/> <constructor-arg index="1" value="(uid={0})"/> <constructor-arg index="2" ref="contextSource" /> </bean> 并使用它，设置认证者的userSearch 属性。这个认证者会调用搜索对象，在尝试绑定到用户之前获得正确的用户DN。 10.4.6. LDAP属性和自定义UserDetails 使用`LdapAuthenticationProvider` 进行认证的结果，和使用普通Spring Security认证一样，都要使用标准`UserDetailsService` 接口。它会创建一个`UserDetails` 对象，并保存到返回的`Authentication` 对象里。在使用`UserDetailsService` 时，常见的需求是可以自定义这个实现，添加额外的属性。在使用LDAP的时候，这些基本都来自用户入口的属性。 `UserDetails` 对象的创建结果被提供者的`UserDetailsContextMapper` 策略控制，它负责在用户对象和LDAP环境数据之间进行映射： public interface UserDetailsContextMapper { UserDetails mapUserFromContext(DirContextOperations ctx, String username, GrantedAuthority[] authority); void mapUserToContext(UserDetails user, DirContextAdapter ctx); } 只有第一个方法与认证有关。如果你提供这个接口的实现，你可以精确控制如何创建UserDetails对象。第一个参数是Spring LDAP的`DirContextOperations` 实例，他给你访问加载的LDAP属性的通道。 `username` 参数是用来认证的名字，最后一个参数是从用户加载的授权列表。] 环境数据加载的方式不同，视乎你采用的认证方法。使用`BindAuthenticatior` ，从绑定操作返回的环境会用来读取属性，否则数据会通过标准的环境，从配置好的`ContextSource` 获得（当测试配置好定位用户，这会从搜索对象中获得数据）。声明：ITeye文章版权属于作者，受法律保护。没有作者书面许可不得转载。推荐链接
返回顶楼

论坛首页 → Java企业应用版

跳转论坛:

Global site tag (gtag.js) - Google Analytics