最近在项目中使用公司的LDAP做身份认证,积累了一些经验,与大家分享一下。
首选报告一下我们项目的概况,我们的项目是用java开发的,基于 spring 的web应用。主要相关软件或库的版本为:
java:1.6,maven:3.0.4,tomcat:7,spring framework:3.2.2.RELEASE,spring security:3.1.3.RELEASE
我的想法是这样的,当用户第一次登录系统时无需注册,只要输入LDAP绑定公司的域账户和密码就完成身份认证动作,然后会自动将用户信息(从LDAP中查询的用户中文名、邮箱等)插入数据库中,并且赋予用户一个默认的角色。然后加载用户所属角色的权限,通过 spring security 结合用户所有的权限对用户访问的资源进行控制。
首先,要在 pom.xml 中设置下面的 dependencies 来集成 LDAP 相关操作。
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-ldap</artifactId>
<version>${springsecurity-version}</version>
<type>jar</type>
<scope>compile</scope>
</dependency>
在 web.xml 中做如下配置:
<!-- Enables Spring Security -->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>
org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<servlet-name>Spring MVC Dispatcher Servlet</servlet-name>
</filter-mapping>
DelegatingFilterProxy做的事情是代理Filter的方法,从application context里获得bean。 这让bean可以获得spring web application context的生命周期支持,使配置较为轻便。
下面我要配置 applicationContext-security.xml 文件,所有 spring security 相关的配置都应该写在这里。详细配置的意义可以参考 xml schema 文件:http://www.springframework.org/schema/security/spring-security-3.1.xsd
有些目录我们希望不限制访问的权限,比如 css、images、js等。
<s:http pattern="/css/**" security="none"/>
<s:http pattern="/images/**" security="none"/>
<s:http pattern="/js/**" security="none"/>
上面的配置和以前的 <s:intercept-url pattern='/css/**' filters='none'/> 作用是一样的,但从 spring security 3 开始不再支持上面的写法——这是很多开源项目让人无语的地方——不在意兼容性。
其中 ** 代表可以跨越目录。
下面这一部分配置是对 http 的过滤:
<s:http
auto-config="true"
use-expressions="true"
entry-point-ref="accessDeniedHandler" >
<s:intercept-url pattern="/service/**" access="hasAnyRole('USER')" />
<s:intercept-url pattern="/home/**" access="hasAnyRole('USER')" />
<s:access-denied-handler ref="accessDeniedHandler"/>
<s:form-login
login-page="/login"
default-target-url="/home"
authentication-failure-url="/login_fail" />
<s:logout logout-success-url="/login" />
<s:custom-filter ref="afterLoginFilter" after="FORM_LOGIN_FILTER" />
</s:http>
上面 <s:intercept-url …… /> 匹配过滤的路径。hasAnyRole 用于匹配一个使用GrantedAuthority 的角色列表(这里说的角色是 spring security 里的概念,不是我们定义的业务上的角色)。用户匹配其中的任何一个均可放行。
entry-point-ref 为用户第一次访问受保护的url时的处理程序。这个程序需要实现 AuthenticationEntryPoint 接口。我们可以在这里让没登录的用户跳转到登录页面去。
access-denied-handler是在拒绝用户访问(用户没有访问权限)的时候处理的程序。这个程序需要实现 AccessDeniedHandler 接口。我们可以在这里让用户跳转到 403 页面去。
form-login 这部分是登录控制
<s:custom-filter ref="afterLoginFilter" …… /> 这部分定义了一个 filter ,在 FORM_LOGIN_FILTER 之后。加这个的原因是这样的。我希望在登录后能将一些内容放在 session 中,但使用 LDAP 的 authentication provider 时无法在我自己实现的 authoritiesPopulator(这个后面会说到)中得到 session 。我觉得一种方法可能是用自己定义的 UserDetails 代替 spring security 中的实现,但由于时间关系没有太研究,如果哪位看官有经验可以一起讨论。另一种方法就是我现在这样,在登录后拦截一下,然后从 SecurityContextHolder.getContext().getAuthentication().getName() 中把用户输入的登录名拿出来,再到数据库捞出我想要的信息,放在了 session 里。
下面说说我们主要的内容 LDAP 进行身份认证部分:
首选我们指定 authentication-manager 为一个 LDAP 的 authentication provider。
<bean id="ldapAuthProvider"
class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider" >
……
</bean>
……
<s:authentication-manager>
<s:authentication-provider ref="ldapAuthProvider">
</s:authentication-provider>
</s:authentication-manager>
这个 LdapAuthenticationProvider 有两个构造参数:
- LdapAuthenticator authenticator:这是一个验证器,验证绑定策略
- LdapAuthoritiesPopulator authoritiesPopulator:这个是在用户通过验证后,得到权限。这个眼熟吧?就是上面我说的在这里我没法得到 session 。
现在我们再看 ldapAuthProvider 的完整配置:
<bean id="ldapAuthProvider"
class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider" >
<constructor-arg>
<bean id="authenticator"
class="org.springframework.security.ldap.authentication.BindAuthenticator">
<constructor-arg ref="contextSource" />
<property name="userSearch">
<bean
class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch">
<constructor-arg value="" />
<constructor-arg value="${security.ldap.searchFilter}" />
<constructor-arg ref="contextSource" />
</bean>
</property>
</bean>
</constructor-arg>
<constructor-arg>
<bean id="authoritiesPopulator"
class="net.bookong.ldapsample.security.LdapAuthoritiesPopulatorImpl">
</bean>
</constructor-arg>
</bean>
在我们指定 authenticator 构造参数时,我们指定了一个 BindAuthenticator 对象,并将一个 contextSource 指定给了它,这个 contextSource 的定义如下:
<bean id="contextSource"
class="org.springframework.security.ldap.DefaultSpringSecurityContextSource" >
<constructor-arg value="${security.ldap.providerUrl}" />
<property name="userDn" value="${security.ldap.userDn}" />
<property name="password" value="${security.ldap.password}" />
</bean>
这里定义了 LDAP 的一些属性。userDn 和 password 是一个域账户的用户名和密码,我们公司配置的 LDAP 必须要指定一个有特殊权限的用户来操作才可以。
${security.ldap.searchFilter} 是配置文件中配置的 LDAP 查询用户的过滤器内容,像我们公司的 LDAP服务器,登录是检查 mailNickname 来作为用户名的,所以我们在配置文件中如下配置:{0} 会替换成登录用户输入的用户名。
security.ldap.searchFilter=(mailNickname={0})
在我们指定 ldapAuthProvider 的第二个构造参数 authoritiesPopulator 时,我们配置的是自己实现的类 LdapAuthoritiesPopulatorImpl,这个类首选检查数据库里有没有记录,如果没有,就用LDAP里的信息初始化数据库。然后从数据库加载权限并添加到要作为函数返回值的Collection 中去。
这里需要注意的是,如果我们希望拿到 LDAP 里的信息,不需要自己再写程序连接 LDAP服务器,因为传入的参数 DirContextOperations userData 已经将能读到的 LDAP 信息都带过来了。比如你想要用户的中文姓名,那么可以这样:
userData.getAttributes().get("displayName").get().toString()
当然,上面说的 displayName 是我们公司 LDAP 里记录中文姓名的属性。
分享到:
相关推荐
浅谈Spring Security LDAP简介 本资源主要介绍了Spring Security LDAP的基本概念和配置方法,通过示例代码和详细的解释,帮助读者更好地理解和应用Spring Security LDAP。 一、Spring Security LDAP概述 LDAP...
`浅谈Acegi配置.mht`系列文件可能探讨了Acegi的配置过程,包括基本的配置元素如`<security:global-method-security>`和`<security:http>`,以及如何定义权限表达式和自定义过滤器。Acegi的配置是其强大之处,但也...
Rocky Linux 8.10内核包
内容概要:本文档详细介绍了如何在Simulink中设计一个满足特定规格的音频带ADC(模数转换器)。首先选择了三阶单环多位量化Σ-Δ调制器作为设计方案,因为这种结构能在音频带宽内提供高噪声整形效果,并且多位量化可以降低量化噪声。接着,文档展示了具体的Simulink建模步骤,包括创建模型、添加各个组件如积分器、量化器、DAC反馈以及连接它们。此外,还进行了参数设计与计算,特别是过采样率和信噪比的估算,并引入了动态元件匹配技术来减少DAC的非线性误差。性能验证部分则通过理想和非理想的仿真实验评估了系统的稳定性和各项指标,最终证明所设计的ADC能够达到预期的技术标准。 适用人群:电子工程专业学生、从事数据转换器研究或开发的技术人员。 使用场景及目标:适用于希望深入了解Σ-Δ调制器的工作原理及其在音频带ADC应用中的具体实现方法的人群。目标是掌握如何利用MATLAB/Simulink工具进行复杂电路的设计与仿真。 其他说明:文中提供了详细的Matlab代码片段用于指导读者完成整个设计流程,同时附带了一些辅助函数帮助分析仿真结果。
内容概要:该题库专为研究生入学考试计算机组成原理科目设计,涵盖名校考研真题、经典教材课后习题、章节题库和模拟试题四大核心模块。名校考研真题精选多所知名高校的计算机组成原理科目及计算机联考真题,并提供详尽解析,帮助考生把握考研命题趋势与难度。经典教材课后习题包括白中英《计算机组成原理》(第5版)和唐朔飞《计算机组成原理》(第2版)的全部课后习题解答,这两部教材被众多名校列为考研指定参考书目。章节题库精选代表性考题,注重基础知识与重难点内容,帮助考生全面掌握考试大纲要求的知识点。模拟试题依据历年考研真题命题规律和热门考点,精心编制两套全真模拟试题,并附标准答案,帮助考生检验学习成果,评估应试能力。 适用人群:计划参加研究生入学考试并报考计算机组成原理科目的考生,尤其是需要系统复习和强化训练的学生。 使用场景及目标:①通过研读名校考研真题,考生可以准确把握考研命题趋势与难度,有效评估复习成效;②通过经典教材课后习题的练习,考生可以巩固基础知识,掌握解题技巧;③通过章节题库的系统练习,考生可以全面掌握考试大纲要求的各个知识点,为备考打下坚实基础;④通过模拟试题的测试,考生可以检验学习成果,评估应试能力,为正式考试做好充分准备。 其他说明:该题库不仅提供详细的题目解析,还涵盖了计算机组成原理的各个方面,包括计算机系统概述、数据表示与运算、存储器分层、指令系统、中央处理器、总线系统和输入输出系统等。考生在使用过程中应结合理论学习与实践操作,注重理解与应用,以提高应试能力和专业知识水平。
__UNI__DB9970A__20250328141034.apk.1
rust for minio
国网台区终端最新规范
资源内项目源码是来自个人的毕业设计,代码都测试ok,包含源码、数据集、可视化页面和部署说明,可产生核心指标曲线图、混淆矩阵、F1分数曲线、精确率-召回率曲线、验证集预测结果、标签分布图。都是运行成功后才上传资源,毕设答辩评审绝对信服的保底85分以上,放心下载使用,拿来就能用。包含源码、数据集、可视化页面和部署说明一站式服务,拿来就能用的绝对好资源!!! 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、大作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.txt文件,仅供学习参考, 切勿用于商业用途。
一个简单的机器学习代码示例,使用的是经典的鸢尾花(Iris)数据集,通过 Scikit-learn 库实现了一个简单的分类模型。这个代码可以帮助你入门机器学习中的分类任务。
pyqt离线包,pyqt-tools离线包
资源内项目源码是来自个人的毕业设计,代码都测试ok,包含源码、数据集、可视化页面和部署说明,可产生核心指标曲线图、混淆矩阵、F1分数曲线、精确率-召回率曲线、验证集预测结果、标签分布图。都是运行成功后才上传资源,毕设答辩评审绝对信服的保底85分以上,放心下载使用,拿来就能用。包含源码、数据集、可视化页面和部署说明一站式服务,拿来就能用的绝对好资源!!! 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、大作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.txt文件,仅供学习参考, 切勿用于商业用途。
SQL常用日期和时间函数整理及在sqlserver测试示例 主要包括 1.查询当前日期GETDATE 2.日期时间加减函数DATEADD 3 返回两个日期中指定的日期部分之间的差值DATEDIFF 4.日期格式转换CONVERT(VARCHAR(10),GETDATE(),120) 5.返回指定日期的年份数值 6.返回指定日期的月份数值 7.返回指定日期的天数数值
GSDML-V2.3-Turck-BL20_E_GW_EN-20160524-010300.xml
T_CPCIF 0225-2022 多聚甲醛.docx
《基于YOLOv8的智能仓储货物堆码倾斜预警系统》(包含源码、可视化界面、完整数据集、部署教程)简单部署即可运行。功能完善、操作简单,适合毕设或课程设计
蚕豆脱壳机设计.zip
台区终端电科院送检文档
Y6一39一No23.6D离心通风机 CAD().zip
django自建博客app