(翻译)Spring Security-2.0.x参考文档“LDAP认证”

LDAP认证
10.1. 综述

LDAP通常被公司用作用户信息的中心资源库，同时也被当作一种认证服务。 它也可以为应用用户储存角色信息。

这里有很多如何对LDAP服务器进行配置的场景，所以Spring Security的LDAP提供器也是完全可配置的。 它使用为验证和角色检测提供了单独的策略接口，并提供了默认的实现，这些都是可配置成处理绝大多数情况。

你还是应该熟悉一下LDAP，在你在Spring Security使用它之前。 下面的链接提供了很好的概念介绍，也是一个使用免费的LDAP服务器建立一个目录http://www.zytrax.com/books/ldap/的指南。 我们也应该熟悉一下通过JNDI API使用java访问LDAP。 我们没有在LDAP提供器里使用任何第三方LDAP库（Mozilla, JLDAP等等），但是还是用到了Spring LDAP，所以如果你希望自己进行自定义，对这个工程熟悉一下也是有好处的。
10.2. 在Spring Security里使用LDAP

Spring Security的LDAP认证可以粗略分成以下几部分。

   1.

      从登录名中获得唯一的“辨别名称”或DN。 这就意味着要对目录执行搜索，除非预先知道了用户名和DN之前的明确映射关系。
   2.

      验证这个用户，进行绑定用户，或调用远程“比较”操作，比对用户的密码和DN在目录入口中的密码属性。
   3.

      为这个用户读取权限队列。

例外情况是，当LDAP目录只是用来检索用户信息和进行本地验证的时候，这也许不可能的，因为目录的属性，比如对用户密码属性，常常被设置成只读权限。

让我们看看下面的一些配置场景。 要是想得到所有可用的配置选项，请参考安全命名空间结构（使用你的XML编辑器应该就可以看到所有有效信息）。
10.3. 配置LDAP服务器

你需要做的第一件事是配置服务器，它里面应该存放着认证信息。 这可以使用安全命名空间里的<ldap-server>元素实现。 使用url属性指向一个外部LDAP服务器：

    <ldap-server url="ldap://springframework.org:389/dc=springframework,dc=org" />
               
           

10.3.1. 使用嵌入测试服务器

这个<ldap-server>元素也可以用来创建一个嵌入服务器，这在测试和演示的时候特别有用。 在这种情况，你不需要使用url属性：

    <ldap-server root="dc=springframework,dc=org"/>
       
   

这里我们指定目录的根DIT应该是“dc=springframework,dc=org”，这是默认的。 使用这种方式，命名空间解析器会建立一个嵌入Apache目录服务器，然后检索classpath下的LDIF文件，尝试从它里边把数据加载到服务器里。 你可以通过ldif属性自定义这些行为，这样可以定义具体要加载哪个LDIF资源：

    <ldap-server ldif="classpath:users.ldif" />
       

这就让启动和运行LDAP变得更轻松了，因为使用一个外部服务器还是不大方便。 它也避免链接到Apache目录服务器的复杂bean配置。 如果使用普通Spring bean配置方法会变的更加混乱。 你必须把必要的Apache目录依赖的jar放到你的程序中。 这些都可以从LDAP示例程序中获得。
10.3.2. 使用绑定认证

这是一个非常常见的LDAP认证场景。

    <ldap-authentication-provider user-dn-pattern="uid={0},ou=people"/>
                    

这个很简单的例子可以根据用户登录名提供的模式为用户获得DN，然后尝试和用户的登录密码进行绑定。 如果所有用户都保存到一个目录的单独节点下就没有问题。 如果你想配置一个LDAP搜索过滤器来定位用户，你可以使用如下配置：

    <ldap-authentication-provider user-search-filter="(uid={0})" user-search-base="ou=people"/>
                   

如果使用了上面的服务器定义，它会在DNou=people,dc=springframework,dc=org下执行搜索，使用user-search-filter里的值作为过滤条件。 然后把用户登录名作为过滤名称的一个参数。 如果没有提供user-search-base，搜索将从根开始。
10.3.3. 读取授权

如果从LDAP目录的组里读取权限信息呢，这是通过下面的属性控制的。

    *

      group-search-base。定义目录树部分，哪个组应该执行搜索。
    *

      group-role-attribute。这个属性包含了组入口中定义的权限名称。默认是 cn
    *

      group-search-filter。这个过滤器用来搜索组的关系。 默认是uniqueMember={0}，对应于groupOfUniqueMembersLDAP类。 在这情况下，取代参数是用户的辨别名称。 如果你想对登录名搜索，可以使用{1}这个参数。

因此，如果我们使用下面进行配置

    <ldap-authentication-provider user-dn-pattern="uid={0},ou=people" group-search-base="ou=groups" />
   

并以用户“ben”的身份通过认证，在读取权限信息的子流程里，要在目录入口ou=groups,dc=springframework,dc=org下执行搜索，查找包含uniqueMember属性值为ou=groups,dc=springframework,dc=org的入口。 默认，权限名都要以ROLE_作为前缀。 你可以使用role-prefix属性修改它。 如果你不想使用任何前缀，可以使用role-prefix="none"。 要想得到更多读取权限的信息，可以查看DefaultLdapAuthoritiesPopulator类的Javadoc。
10.4. 实现类

我们上面使用到的命名空间选项很容易使用，也比使用spring bean更准确。 也有可能你需要知道如何配置在你的application context里配置Spring Security LDAP目录。 比如，你可能想自定义一些类的行为。 如果你想使用命名空间配置，你可以跳过这节，直接进入下一段。

最主要的LDAP提供器类是org.springframework.security.providers.ldap.LdapAuthenticationProvider。 这个bean自己没做什么事情，而是代理了其他两个bean的工作，一个是LdapAuthenticator，一个是LdapAuthoritiesPopulator，用来处理用户认证和检索用户的GrantedAuthority属性集合。
10.4.1. LdapAuthenticator实现

验证者还负责检索所有需要的用户属性。 这是因为对于属性的授权可能依赖于使用的验证类型 比如，如果对某个用户进行绑定，它也许必须通过用户自己的授权才能进行读取。

当前Spring Security提供两种验证策略：

    *

      直接去LDAP服务器验证（“绑定”验证）。
    *

      比较密码，将用户提供的密码与资源库中保存的进行比较。 这可以通过检索密码属性的值并在本地检测，或者执行LDAP“比较”操作，提供用来比较的密码是从服务器获得的，绝对不会检索真实密码的值。

10.4.1.1. 常用功能

在认证一个用户之前（使用任何一个策略），辨别名称（DN）必须从系统提供的登录名中获得。 这可以通过，简单的模式匹配（设置setUserDnPatterns数组属性）或者设置userSearch属性。 为了实现DN模式匹配方法，一个标准的java模式格式被用到了，登录名将被参数{0}替代。 这个模式应该和DN有关系，并绑定到配置好的SpringSecurityContextSource（看看链接到LDAP服务器那节，获得更多信息）。 比如，如果你使用了LDAP服务的URL是ldap://monkeymachine.co.uk/dc=springframework,dc=org，并有一个模式uid={0},ou=greatapes，然后登录名"gorilla"会映射到DNuid=gorilla,ou=greatapes,dc=springframework,dc=org。 每个配置好的DN模式将尝试进行定位，直到有一个匹配上。 使用搜索获得信息，看看下面的安全对象那节。 两种方式也可以结合在一起使用 - 模式会先被检测一下，然后如果没有找到匹配的DN，就会使用搜索。
10.4.1.2. BindAuthenticator

这个类 org.springframework.security.providers.ldap.authenticator.BindAuthenticator 实现了绑定认证策略。 它只是尝试对用户进行绑定。
10.4.1.3. PasswordComparisonAuthenticator

这个类 org.springframework.security.providers.ldap.authenticator.PasswordComparisonAuthenticator 实现了密码比较认证策略。
10.4.1.4. 活动目录认证

除了标准LDAP认证以外（绑定到一个DN），活动目录对于用户认证提供了自己的非标准语法。
10.4.2. 链接到LDAP服务器

上面讨论的bean必须连接到服务器。 它们都必须使用SpringSecurityContextSource，这个是Spring LDAP的一个扩展。 除非你有特定的需求，你通常只需要配置一个DefaultSpringSecurityContextSource bean，这个可以使用你的LDAP服务器的URL进行配置，可选项还有管理员用户的用户名和密码，这将默认用在绑定服务器的时候（而不是匿名绑定）。 参考Spring LDAP的AbstractContextSource类的Javadoc获得更多信息。
10.4.3. LDAP搜索对象

通常，比简单DN匹配越来越复杂的策略需要在目录里定位一个用户入口。 这可以使用LdapUserSearch的一个示例，它可以提供认证者实现，比如让他们定位一个用户。 提供的实现是FilterBasedLdapUserSearch。
10.4.3.1.  FilterBasedLdapUserSearch

这个bean使用一个LDAP过滤器，来匹配目录里的用户对象。 这个过程在javadoc里进行过解释，在对应的搜索方法，JDK DirContext class。 就如那里解释的，搜索过滤条件可以通过方法指定。 对于这个类，唯一合法的参数是{0}，它会代替用户的登录名。
10.4.4. LdapAuthoritiesPopulator

在成功认证用户之后，LdapAuthenticationProvider会调用配置好的LdapAuthoritiesPopulator bean，尝试读取用户的授权集合。 这个DefaultLdapAuthoritiesPopulator是一个实现类，它将通过搜索目录读取授权，查找用户成员所在的组（典型的这会是目录中的groupOfNames或groupOfUniqueNames入口）。 查看这个类的Javadoc获得它如何工作的更多信息。
10.4.5. Spring Bean配置

典型的配置方法，使用到像我们这在里讨论的这些bean，就像这样：

<bean id="contextSource"
        class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">
  <constructor-arg value="ldap://monkeymachine:389/dc=springframework,dc=org"/>
  <property name="userDn" value="cn=manager,dc=springframework,dc=org"/>
  <property name="password" value="password"/>
</bean>

<bean id="ldapAuthProvider"
        class="org.springframework.security.providers.ldap.LdapAuthenticationProvider">
  <constructor-arg>
    <bean class="org.springframework.security.providers.ldap.authenticator.BindAuthenticator">
      <constructor-arg ref="contextSource"/>
      <property name="userDnPatterns">
        <list><value>uid={0},ou=people</value></list>
      </property>
    </bean>
  </constructor-arg>
  <constructor-arg>
    <bean class="org.springframework.security.ldap.populator.DefaultLdapAuthoritiesPopulator">
      <constructor-arg ref="contextSource"/>
      <constructor-arg value="ou=groups"/>
      <property name="groupRoleAttribute" value="ou"/>
    </bean>
  </constructor-arg>
</bean>
               

这里建立了一个提供器，访问LDAP服务，URL是 ldap://monkeymachine:389/dc=springframework,dc=org。 认证会被执行，尝试绑定这个DN uid=<user-login-name>,ou=people,dc=springframework,dc=org。 在成功认证之后，会通过查找下面的DN ou=groups,dc=springframework,dc=org 使用默认的过滤条件 (member=<user's-DN>)，将角色分配给用户。 角色名会通过每个匹配的“ou”属性获得。

要配置用户的搜索对象，使用过滤条件 (uid=<user-login-name>) 替代DN匹配（或附加到它上面），你需要配置下面的bean

<bean id="userSearch"
    class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch">
  <constructor-arg index="0" value=""/>
  <constructor-arg index="1" value="(uid={0})"/>
  <constructor-arg index="2" ref="contextSource" />
</bean>
               

并使用它，设置认证者的userSearch属性。 这个认证者会调用搜索对象，在尝试绑定到用户之前获得正确的用户DN。
10.4.6. LDAP属性和自定义UserDetails

使用LdapAuthenticationProvider进行认证的结果，和使用普通Spring Security认证一样，都要使用标准UserDetailsService接口。 它会创建一个UserDetails对象，并保存到返回的Authentication对象里。 在使用UserDetailsService时，常见的需求是可以自定义这个实现，添加额外的属性。 在使用LDAP的时候，这些基本都来自用户入口的属性。 UserDetails对象的创建结果被提供者的UserDetailsContextMapper策略控制，它负责在用户对象和LDAP环境数据之间进行映射：

public interface UserDetailsContextMapper {
    UserDetails mapUserFromContext(DirContextOperations ctx, String username, GrantedAuthority[] authority);

    void mapUserToContext(UserDetails user, DirContextAdapter ctx);
}
               

只有第一个方法与认证有关。 如果你提供这个接口的实现，你可以精确控制如何创建UserDetails对象。 第一个参数是Spring LDAP的DirContextOperations实例，他给你访问加载的LDAP属性的通道。 username参数是用来认证的名字，最后一个参数是从用户加载的授权列表。]

环境数据加载的方式不同，视乎你采用的认证方法。 使用BindAuthenticatior，从绑定操作返回的环境会用来读取属性，否则数据会通过标准的环境，从配置好的ContextSource获得（当测试配置好定位用户，这会从搜索对象中获得数据）。