- 浏览: 453720 次
- 性别:
- 来自: 大连
博客专栏
-
《Spring Secur...
浏览量:384268
文章分类
最新评论
-
蒙奇君杰:
必须感谢一番!!!愿开源的态度为更多的人所拥有,所 认同!
关于对《Spring Security3》一书的翻译说明 -
601235723:
bbjavaeye 写道你好,有个问题请教一下我配了<b ...
《Spring Security3》第四章第一部分翻译下(自定义的UserDetailsService) -
bay0902:
中国互联网的脊梁
Spring Security 3全文下载 -
hdcustc:
项目源码下载 微博网盘里的那个依赖文件损坏了啊 能否提供个可 ...
Spring Security 3全文下载 -
i641878506:
楼主辛苦, 可以提供原书的原项目文件的下载么
Spring Security 3全文下载
明确的LDAP bean配置
在本节中,我们带领你学会明确配置以下两项功能所需要的bean集合,即连接外部的LDAP服务器和支持授权的LdapAuthenticationProvider。正如其它基于bean的配置,你可能不希望这样做,除非你发现security命名空间风格的配置不能支持你的业务或技术需求——在这种情况下,请继续阅读。
配置外部的LDAP服务器引用
为了实现这个配置,我们假设在本地的10389端口上运行着LDAP服务器,与前面章节的对应<ldap-server>有相同的配置。需要的bean定义在dogstore-base.xml中提供,如下:
<bean class="org.springframework.security.ldap.DefaultSpringSecurityContextSource" id="ldapServer"> <constructor-arg value="ldap://localhost:10389/dc=jbcppets,dc=com"/> <property name="userDn" value="uid=admin,ou=system"/> <property name="password" value="secret"/> </bean>
接下来,我们需要配置稍微复杂一些的LdapAuthenticationProvider。
配置LdapAuthenticationProvider
如果你已经读过并理解本章中关于Spring Security LDAP如何工作的讲解,那这个bean配置就很容易理解了,尽管稍有些复杂。我们将会配置一个包含如下特性的LdapAuthenticationProvider:
l 用户的凭证进行绑定认证(不是密码对比);
l 在UserDetailsContextMapper中使用InetOrgPerson
让我们开始吧——首先我们声明LdapAuthenticationProvider:
<bean class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider" id="ldapAuthProvider"> <constructor-arg ref="ldapBindAuthenticator"/> <constructor-arg ref="ldapAuthoritiesPopulator"/> <property name="userDetailsContextMapper" ref="ldapUserDetailsConte xtMapper"/> </bean>
接下来是BindAuthenticator以及支持的FilterBasedLdapUserSearch bean(用来在绑定前在LDAP目录中定位用户的DN):
<bean class="org.springframework.security.ldap.authentication.BindAuthenticator" id="ldapBindAuthenticator"> <constructor-arg ref="ldapServer"/> <property name="userSearch" ref="ldapSearchBean"/> </bean> <bean class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch" id="ldapSearchBean"> <constructor-arg value=""/> <!-- user-search-base --> <constructor-arg value="(uid={0})"/> <!-- user-search-filter --> <constructor-arg ref="ldapServer"/> </bean>
最后是LdapAuthoritiesPopulator和UserDetailsContextMapper,它们的角色我们在前文中已经介绍过:
<bean class="org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator" id="ldapAuthoritiesPopulator"> <constructor-arg ref="ldapServer"/> <constructor-arg value="ou=Groups"/> <property name="groupSearchFilter" value="(uniqueMember={0})"/> </bean> <bean class="org.springframework.security.ldap.userdetails.InetOrgPersonContextMapper" id="ldapUserDetailsContextMapper"/>
最后需要配置的元素是对我们LdapAuthenticationProvider的引用,我们将会在dogstore-security.xml中通过引用进行声明:
<authentication-manager alias="authenticationManager"> <authentication-provider ref="ldapAuthProvider"/> </authentication-manager>
到此时为止,我们已经使用明确Spring bean的方法配置了LDAP认证。正如我们在第六章:高级配置和扩展第一次引入明确bean配置那样,在LDAP集成中使用这项技术能够在security命名空间配置没有暴露特定属性时,或者需要自定义的实现类以满足特定业务场景的地方很有用。接下来,我们将会介绍一个这样的场景即怎样通过LDAP连接到Microsoft Active Directory。
通过LDAP集成Microsoft Active Directory
Microsoft Active Directory的一个便利功能是它不仅能够很好的与基于Microsoft Windows网络的结构集成,还能够配置成使用LDAP协议保罗Active Directory内容。如果你们是使用Windows的公司,很可能任何的LDAP集成都是基于你的Active Directory实例。
取决于你的Microsoft Active Directory配置(以及目录管理员支持Spring Security LDAP的意愿),你可能遇到的困难不在认证和绑定的过程中而是匹配Active Directory中的信息到Spring Security系统中的用户GrantedAuthority上。
JBCP Pets公司的Active Directory LDAP树的实例在LDAP浏览器中的截图如下:
在这里你没有看到前面实例LDAP结构中的ou=Groups——这是因为Active Directory在用户条目本身上以属性的方式存储分组信息。内置的Spring Security(本书出版之时)并没有提供支持典型Active Directory LDAP树的LdapAuthoritiesPopulator。
让我们使用刚刚了解到的明确配置bean的方式来织入一个简单的LdapAuthoritiesPopulator实现,它只是简单的为每个LDAP认证的用户授予ROLE_USER角色。我们将这个类称为com.packtpub.springsecurity.security.SimpleRoleGrantingLdapAuthoritiesPopulator
public class SimpleRoleGrantingLdapAuthoritiesPopulator implements LdapAuthoritiesPopulator { protected String role = "ROLE_USER"; public Collection<GrantedAuthority> getGrantedAuthorities( DirContextOperations userData, String username) { GrantedAuthority ga = new GrantedAuthorityImpl(role); return Arrays.asList(ga); } public String getRole() { return role; } public void setRole(String role) { this.role = role; } }
并不十分令人兴奋,但是要记住如果需要的话你可以使用传入的o.s.ldap.core.DirContextOperations对象进行很多类型的LDAP操作,如查询目录获取用户的信息以及使用这些信息填充返回的角色。
假设我们从上一节中的bean配置开始,让我们看一下怎样修改配置以支持Active Directory结构。
<bean class="org.springframework.security.ldap. DefaultSpringSecurityContextSource" id="ldapServer"> <constructor-arg value="ldap://corp.jbcppets.com/dc=corp,dc=jbcppets,dc=com"/> <property name="userDn" value="CN=Administrator,CN=Users,DC=corp,DC=jbcppets,DC=com"/> <property name="password" value="admin123!"/> </bean> <bean class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch" id="ldapSearchBean"> <constructor-arg value="CN=Users"/> <constructor-arg value="(sAMAccountName={0})"/> <constructor-arg ref="ldapServer"/> </bean> <bean class="com.packtpub.springsecurity.security.SimpleRoleGrantingLdapAuthoritiesPopulator" id="ldapAuthoritiesPopulator"/>
属性sAMAccountName是在Active Directory中与标准LDAP条目的uid属性对等的——其它的配置修改都是典型的Active Directory配置。
尽管大多数的Active Directory LDAP集成都可能比本例复杂,但这会给你一个深入理解和探索Spring Security LDAP内部原理的起点,会使得支持更复杂的集成会简单一点。
注意存在另外一种与Active Directory集成的方式——Kerberos认证,它是Spring Security扩展项目的一部分,并会在第十二章:Spring Security扩展中涉及到。你可能会愿意了解两种类型的集成并确定哪种更适合你的需求(我们将会在第十二章中,比较Active Directory的LDAP和Kerberos认证)。
委托角色查询给UserDetailsService
最后一项明确配置bean支持的技术就是在UserDetailsService中根据用户名查找用户并在此处获取GrantedAuthority。配置很简单就像声明一个bean,含有一个对UserDetailsService引用(就像基于JDBC的或我们在前面的章节中用到过的):
<bean class="org.springframework.security.ldap.authentication.UserDetailsServiceLdapAuthoritiesPopulator" id="ldapAuthoritiesPopulator"> <constructor-arg ref="jdbcUserServiceCustom"/> </bean>
你可能会预见到的逻辑和管理问题是用户名和角色必须同时在LDAP中和UserDetailsService所有的存储中管理——在大型用户场景下这可能不是一个灵活的模式。
这种场景的通常用在需要LDAP认证确保应用中的用户即为公司用户,但是应用本身想存储授权信息。这会导致潜在的应用相关数据在LDAP目录以外,这可能会是出于分开操作的考虑。
小结
我们已经看到在接受请求时,可以依赖LDAP服务器提供认证和授权信息,以及丰富的用户个人信息。在本章中,我们学到了:
l LDAP术语和概念,并理解了LDAP 目录怎样组织以支持Spring Security;
l 在Spring Security配置文件中配置单独的(嵌入式的)和外部的LDAP服务器;
l 基于LDAP存储认证和授权用户,以及随后的匹配Spring Security角色;
l LDAP中不同的认证模式、密码存储和安全机制——以及在Spring Security中怎样处理;
l 匹配LDAP目录中的用户详细信息到UserDetails对象中,实现LDAP和使用Spring应用的属性交换;
l LDAP的明确bean配置,以及这种方式的优劣。
发表评论
-
《Spring In Action》第三版译序
2013-07-12 12:19 3061《Spring In Action》第三 ... -
Tomcat源码解读系列(四)——Tomcat类加载机制概述
2012-09-23 22:23 10479声明:源码版本为Tomcat 6.0.35 ... -
Tomcat源码解读系列(三)——Tomcat对HTTP请求处理的整体流程
2012-09-09 22:34 6949声明:源码版本为Tomcat 6.0.35 前面的文章 ... -
Tomcat源码解读系列(二)——Tomcat的核心组成和启动过程
2012-09-02 16:59 6371声明:源码版本为Tom ... -
Tomcat源码解读系列(一)——server.xml文件的配置
2012-08-25 07:31 6469Tomcat是JEE开发人员最常用到的开发工具,在Jav ... -
Spring Security 3全文下载
2012-03-15 20:31 20415本书已经翻译完成,提供给大家下载 以下地址为ITEYE的电子 ... -
《Spring Security3》附录翻译(参考资料)
2012-02-13 22:58 6568附录:参考材料 在本附录中, ... -
《Spring Security3》第十三章翻译(迁移到Spring Security 3)
2012-02-13 22:50 5359第十三章 迁移到Spring Security 3 ... -
《Spring Security3》第十二章翻译(Spring Security扩展)
2012-02-13 22:38 8010第十二章 Spring Security扩展 ... -
《Spring Security3》第十一章(客户端证书认证)第二部分翻译
2012-02-13 22:23 4958在Spring Security中配置客户端证书认证 ... -
《Spring Security3》第十一章(客户端证书认证)第一部分翻译
2012-02-13 22:00 6215第十一章 客户端证书认证(Client Cert ... -
《Spring Security3》第十章(CAS)第二部分翻译(CAS高级配置)
2012-01-19 13:07 8631高级CAS配置 ... -
《Spring Security3》第十章(CAS)第一部分翻译(CAS基本配置)
2012-01-19 12:54 12347第十章 使用中心认证服务(CAS)进行单点登录 ... -
《Spring Security3》第九章(LDAP)第二部分翻译(LDAP高级配置)
2012-01-19 12:36 7208LDAP的高级配置 一旦我们 ... -
《Spring Security3》第九章(LDAP)第一部分翻译(LDAP基本配置)
2012-01-19 12:22 6182第九章 LDAP目录服务 在本章中,我们 ... -
《Spring Security3》第八章第三部分翻译(属性交换)
2012-01-18 15:46 2952属性交换(Attribute Exchange) ... -
《Spring Security3》第八章第二部分翻译(OpenID用户的注册)
2012-01-18 13:39 5414OpenID用户的注册问 ... -
《Spring Security3》第八章第一部分翻译(OpenID与Spring Security)
2012-01-17 22:38 7565第八章 对OpenID开放 OpenID是 ... -
《Spring Security3》第七章第三部分翻译(ACL的注意事项)
2012-01-17 22:25 2705典型ACL部署所要考虑的事情 ... -
《Spring Security3》第七章第二部分翻译(高级ACL)(下)
2012-01-17 22:17 4207支持ACL的Spring表达式语言 SpEL对A ...
相关推荐
1. **配置LDAP连接**:首先,我们需要在Spring Security的配置类中添加LDAP服务器的连接信息,包括URL、基础DN(Distinguished Name)以及管理员凭证。 2. **定义LDAP认证提供者**:使用`LdapAuthenticationProvider...
三、配置Spring Security LDAP 1. 配置ContextSource:在Spring Security的配置文件中,需要定义一个ContextSource,指定连接到的LDAP服务器以及基础DN。 2. 配置LdapAuthenticationProvider:该组件处理用户的登录...
spring security 3 ldap验证方式示例
- 连接LDAP服务器:配置Spring Security以连接到指定的LDAP服务器。 - 用户名查找:根据用户名查询LDAP目录,寻找匹配的用户条目。 - 密码验证:对比从LDAP获取的用户密码与用户输入的密码,确保它们一致。 - 角色...
在本文中,我们将深入探讨Spring Security 3的配置文件,以及如何理解和使用这些配置来增强应用的安全性。 首先,Spring Security的配置通常位于一个或多个XML文件中,这些文件通过`<beans>`标签定义了安全相关的...
- `LDAP-spring-security-ldap.jar`:支持 LDAP 认证和授权。 - `ACL-spring-security-acl.jar`:提供了基于 ACL 的访问控制功能。 - `CAS-spring-security-cas-client.jar`:支持 CAS 协议的单点登录功能。 - `...
教程文档`教你使用_SpringSecurity_3.0_52页.pdf`会详细指导你如何一步步配置和使用Spring Security。它应该包含了配置文件的示例、如何集成到Spring应用中、如何创建自定义认证逻辑以及如何进行授权设置等内容。...
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
《Spring Security3》第二章第三部分的翻译下篇主要涵盖了Spring Security的核心概念和技术,这部分内容是深入理解Spring Security架构和实现安全控制的关键。在本章节中,我们将详细探讨以下几个核心知识点: 1. *...
学习SpringSecurity时,看到LDAP认证,不了解LDAP根本无从下手。所以转头学习了一下LDAP,搭建了一个DEMO,仅作记录。 LDAP(Lightweight Directory Access Protocol) 轻量级目录访问协议,LDAP目录以树状的层次结构...
在"SpringSecurity2Demo"这个项目中,我们可以预期看到以下组成部分: 1. **配置文件**: `spring-security.xml`,这是Spring Security的核心配置文件,包含了过滤器链的配置、用户认证源、授权规则等。 2. **控制...
第一章:一个不安全应用的剖析 第二章:springsecurity起步 第三章:增强用户体验 第四章:凭证安全存储 ...第九章:LDAP目录服务 第十章:使用中心认证服务 第十一章:客户端证书认证 第十二章:spring Security扩展
Spring Security提供了丰富的认证机制,支持多种认证方式,包括但不限于表单认证、LDAP认证、CAS认证等。认证成功后,用户的身份会被标记为已认证,然后系统根据用户的权限来进行授权,授权是指决定一个已认证的用户...
9. **自定义**:Spring Security非常灵活,允许开发者根据需求自定义大部分组件,如访问决策管理器、权限评估器等,以满足特定业务场景。 10. **与其他Spring框架的集成**:Spring Security与Spring Boot、Spring ...
Spring LDAP很好地融入了Spring生态,可以与其他Spring模块(如Spring JDBC、Spring Security)无缝集成。这使得在处理多种数据存储时,代码风格和事务管理保持一致。 6. "lib"文件夹: 压缩包中的"lib"文件夹很...
#### 三、Spring Security的配置与使用 **3.1 命名空间配置** 为了简化配置过程,Spring Security提供了命名空间配置的支持。这种方式比传统的XML bean配置更为直观和简洁。通过使用Spring Security的命名空间,...
Spring Security LDAP是Spring Security框架中的一部分,提供了对LDAP的支持,使得开发者可以轻松地集成LDAP身份验证和授权机制到自己的项目中。 二、Maven Dependency 要使用Spring Security LDAP,需要在Maven...
在Spring+LDAP的SSO系统中,当用户首次登录时,其凭证被提交到中央认证服务器(通常是一个Spring Security配置的控制器),服务器通过与LDAP服务器交互验证用户身份。成功后,生成一个安全的票据(例如JWT或Ticket ...
3. **spring-security-config-3.1.3.RELEASE.jar**:配置模块提供了基于XML和注解的安全配置方式。通过在Spring配置文件中定义`<http>`、`<authentication-manager>`等元素,或使用`@EnableGlobalAuthentication`、`...
本资源包含Spring Security 3的官方文档中文版、权限管理手册中文版以及相关的教程,对于学习和理解Spring Security 3的功能和用法非常有帮助。 首先,让我们深入了解一下Spring Security的核心概念: 1. **身份...