`
lengyun3566
  • 浏览: 453720 次
  • 性别: Icon_minigender_1
  • 来自: 大连
博客专栏
D59180b9-02f1-3380-840c-ea34da46143c
《Spring Secur...
浏览量:384268
社区版块
存档分类
最新评论

《Spring Security3》第九章(LDAP)第三部分翻译(LDAP明确配置)

 
阅读更多

 

明确的LDAP bean配置

         在本节中,我们带领你学会明确配置以下两项功能所需要的bean集合,即连接外部的LDAP服务器和支持授权的LdapAuthenticationProvider。正如其它基于bean的配置,你可能不希望这样做,除非你发现security命名空间风格的配置不能支持你的业务或技术需求——在这种情况下,请继续阅读。

配置外部的LDAP服务器引用

         为了实现这个配置,我们假设在本地的10389端口上运行着LDAP服务器,与前面章节的对应<ldap-server>有相同的配置。需要的bean定义在dogstore-base.xml中提供,如下:

 

<bean class="org.springframework.security.ldap.DefaultSpringSecurityContextSource"
 id="ldapServer">
  <constructor-arg value="ldap://localhost:10389/dc=jbcppets,dc=com"/>
  <property name="userDn" value="uid=admin,ou=system"/>
  <property name="password" value="secret"/>
</bean>

 接下来,我们需要配置稍微复杂一些的LdapAuthenticationProvider

 

配置LdapAuthenticationProvider

         如果你已经读过并理解本章中关于Spring Security LDAP如何工作的讲解,那这个bean配置就很容易理解了,尽管稍有些复杂。我们将会配置一个包含如下特性的LdapAuthenticationProvider

l  用户的凭证进行绑定认证(不是密码对比);

l  UserDetailsContextMapper中使用InetOrgPerson

让我们开始吧——首先我们声明LdapAuthenticationProvider

 

<bean class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider" id="ldapAuthProvider">
  <constructor-arg ref="ldapBindAuthenticator"/>
  <constructor-arg ref="ldapAuthoritiesPopulator"/>
  <property name="userDetailsContextMapper" ref="ldapUserDetailsConte
xtMapper"/>
</bean>

 

 接下来是BindAuthenticator以及支持的FilterBasedLdapUserSearch bean(用来在绑定前在LDAP目录中定位用户的DN):

 

<bean class="org.springframework.security.ldap.authentication.BindAuthenticator" id="ldapBindAuthenticator">
  <constructor-arg ref="ldapServer"/>
  <property name="userSearch" ref="ldapSearchBean"/>
</bean>
<bean class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch" 
id="ldapSearchBean">
  <constructor-arg value=""/> <!-- user-search-base -->
  <constructor-arg value="(uid={0})"/> <!-- user-search-filter -->
  <constructor-arg ref="ldapServer"/>
</bean>

 

          最后是LdapAuthoritiesPopulatorUserDetailsContextMapper,它们的角色我们在前文中已经介绍过:

 

<bean class="org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator"
 id="ldapAuthoritiesPopulator">
  <constructor-arg ref="ldapServer"/>
  <constructor-arg value="ou=Groups"/>
  <property name="groupSearchFilter" value="(uniqueMember={0})"/>
</bean>
<bean class="org.springframework.security.ldap.userdetails.InetOrgPersonContextMapper"
 id="ldapUserDetailsContextMapper"/>

 

        最后需要配置的元素是对我们LdapAuthenticationProvider的引用,我们将会在dogstore-security.xml中通过引用进行声明:

 

<authentication-manager alias="authenticationManager">
  <authentication-provider ref="ldapAuthProvider"/>
</authentication-manager>

 到此时为止,我们已经使用明确Spring bean的方法配置了LDAP认证。正如我们在第六章:高级配置和扩展第一次引入明确bean配置那样,在LDAP集成中使用这项技术能够在security命名空间配置没有暴露特定属性时,或者需要自定义的实现类以满足特定业务场景的地方很有用。接下来,我们将会介绍一个这样的场景即怎样通过LDAP连接到Microsoft Active Directory

 

通过LDAP集成Microsoft Active Directory

         Microsoft Active Directory的一个便利功能是它不仅能够很好的与基于Microsoft Windows网络的结构集成,还能够配置成使用LDAP协议保罗Active Directory内容。如果你们是使用Windows的公司,很可能任何的LDAP集成都是基于你的Active Directory实例。

         取决于你的Microsoft Active Directory配置(以及目录管理员支持Spring Security LDAP的意愿),你可能遇到的困难不在认证和绑定的过程中而是匹配Active Directory中的信息到Spring Security系统中的用户GrantedAuthority上。

         JBCP Pets公司的Active Directory LDAP树的实例在LDAP浏览器中的截图如下:



 在这里你没有看到前面实例LDAP结构中的ou=Groups——这是因为Active Directory在用户条目本身上以属性的方式存储分组信息。内置的Spring Security(本书出版之时)并没有提供支持典型Active Directory LDAP树的LdapAuthoritiesPopulator

         让我们使用刚刚了解到的明确配置bean的方式来织入一个简单的LdapAuthoritiesPopulator实现,它只是简单的为每个LDAP认证的用户授予ROLE_USER角色。我们将这个类称为com.packtpub.springsecurity.security.SimpleRoleGrantingLdapAuthoritiesPopulator

 

public class SimpleRoleGrantingLdapAuthoritiesPopulator implements
    LdapAuthoritiesPopulator {
  protected String role = "ROLE_USER";
  public Collection<GrantedAuthority> getGrantedAuthorities(
      DirContextOperations userData, String username) {
    GrantedAuthority ga = new GrantedAuthorityImpl(role);
    return Arrays.asList(ga); 
  }
  public String getRole() {
    return role;
  }
  public void setRole(String role) {
    this.role = role;
  }
}

 并不十分令人兴奋,但是要记住如果需要的话你可以使用传入的o.s.ldap.core.DirContextOperations对象进行很多类型的LDAP操作,如查询目录获取用户的信息以及使用这些信息填充返回的角色。

         假设我们从上一节中的bean配置开始,让我们看一下怎样修改配置以支持Active Directory结构。

 

  <bean class="org.springframework.security.ldap.
DefaultSpringSecurityContextSource" id="ldapServer">
    <constructor-arg value="ldap://corp.jbcppets.com/dc=corp,dc=jbcppets,dc=com"/>
<property name="userDn" 
value="CN=Administrator,CN=Users,DC=corp,DC=jbcppets,DC=com"/>
    <property name="password" value="admin123!"/>
  </bean>
  <bean class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch"
    id="ldapSearchBean">
<constructor-arg value="CN=Users"/>
<constructor-arg value="(sAMAccountName={0})"/>
<constructor-arg ref="ldapServer"/>
</bean>
<bean class="com.packtpub.springsecurity.security.SimpleRoleGrantingLdapAuthoritiesPopulator" id="ldapAuthoritiesPopulator"/>

 属性sAMAccountName是在Active Directory中与标准LDAP条目的uid属性对等的——其它的配置修改都是典型的Active Directory配置。

         尽管大多数的Active Directory LDAP集成都可能比本例复杂,但这会给你一个深入理解和探索Spring Security LDAP内部原理的起点,会使得支持更复杂的集成会简单一点。

         注意存在另外一种与Active Directory集成的方式——Kerberos认证,它是Spring Security扩展项目的一部分,并会在第十二章:Spring Security扩展中涉及到。你可能会愿意了解两种类型的集成并确定哪种更适合你的需求(我们将会在第十二章中,比较Active DirectoryLDAPKerberos认证)。

委托角色查询给UserDetailsService

         最后一项明确配置bean支持的技术就是在UserDetailsService中根据用户名查找用户并在此处获取GrantedAuthority。配置很简单就像声明一个bean,含有一个对UserDetailsService引用(就像基于JDBC的或我们在前面的章节中用到过的):

 

<bean class="org.springframework.security.ldap.authentication.UserDetailsServiceLdapAuthoritiesPopulator" id="ldapAuthoritiesPopulator">
   <constructor-arg ref="jdbcUserServiceCustom"/>
 </bean>

 你可能会预见到的逻辑和管理问题是用户名和角色必须同时在LDAP中和UserDetailsService所有的存储中管理——在大型用户场景下这可能不是一个灵活的模式。

         这种场景的通常用在需要LDAP认证确保应用中的用户即为公司用户,但是应用本身想存储授权信息。这会导致潜在的应用相关数据在LDAP目录以外,这可能会是出于分开操作的考虑。

小结

         我们已经看到在接受请求时,可以依赖LDAP服务器提供认证和授权信息,以及丰富的用户个人信息。在本章中,我们学到了:

l  LDAP术语和概念,并理解了LDAP 目录怎样组织以支持Spring Security

l  Spring Security配置文件中配置单独的(嵌入式的)和外部的LDAP服务器;

l  基于LDAP存储认证和授权用户,以及随后的匹配Spring Security角色;

l  LDAP中不同的认证模式、密码存储和安全机制——以及在Spring Security中怎样处理;

l  匹配LDAP目录中的用户详细信息到UserDetails对象中,实现LDAP和使用Spring应用的属性交换;

l  LDAP的明确bean配置,以及这种方式的优劣。

 

 

 

  • 大小: 102.9 KB
分享到:
评论

相关推荐

    Spring Security3.2搭建LDAP认证授权

    1. **配置LDAP连接**:首先,我们需要在Spring Security的配置类中添加LDAP服务器的连接信息,包括URL、基础DN(Distinguished Name)以及管理员凭证。 2. **定义LDAP认证提供者**:使用`LdapAuthenticationProvider...

    spring-security-ldap-2.0.1

    三、配置Spring Security LDAP 1. 配置ContextSource:在Spring Security的配置文件中,需要定义一个ContextSource,指定连接到的LDAP服务器以及基础DN。 2. 配置LdapAuthenticationProvider:该组件处理用户的登录...

    spring-security-samples-ldap

    spring security 3 ldap验证方式示例

    Spring Security ldap 1.3.2

    - 连接LDAP服务器:配置Spring Security以连接到指定的LDAP服务器。 - 用户名查找:根据用户名查询LDAP目录,寻找匹配的用户条目。 - 密码验证:对比从LDAP获取的用户密码与用户输入的密码,确保它们一致。 - 角色...

    SpringSecurity 3配置文件

    在本文中,我们将深入探讨Spring Security 3的配置文件,以及如何理解和使用这些配置来增强应用的安全性。 首先,Spring Security的配置通常位于一个或多个XML文件中,这些文件通过`&lt;beans&gt;`标签定义了安全相关的...

    spring security3 中文版本

    - `LDAP-spring-security-ldap.jar`:支持 LDAP 认证和授权。 - `ACL-spring-security-acl.jar`:提供了基于 ACL 的访问控制功能。 - `CAS-spring-security-cas-client.jar`:支持 CAS 协议的单点登录功能。 - `...

    spring security3配置和使用实例+教程

    教程文档`教你使用_SpringSecurity_3.0_52页.pdf`会详细指导你如何一步步配置和使用Spring Security。它应该包含了配置文件的示例、如何集成到Spring应用中、如何创建自定义认证逻辑以及如何进行授权设置等内容。...

    springsecurity使用配置详解

    在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。

    《Spring Security3》第二章第三部分翻译(下)附前两章doc文档

    《Spring Security3》第二章第三部分的翻译下篇主要涵盖了Spring Security的核心概念和技术,这部分内容是深入理解Spring Security架构和实现安全控制的关键。在本章节中,我们将详细探讨以下几个核心知识点: 1. *...

    SpringLdapDemo

    学习SpringSecurity时,看到LDAP认证,不了解LDAP根本无从下手。所以转头学习了一下LDAP,搭建了一个DEMO,仅作记录。 LDAP(Lightweight Directory Access Protocol) 轻量级目录访问协议,LDAP目录以树状的层次结构...

    Spring Security3 Demo

    在"SpringSecurity2Demo"这个项目中,我们可以预期看到以下组成部分: 1. **配置文件**: `spring-security.xml`,这是Spring Security的核心配置文件,包含了过滤器链的配置、用户认证源、授权规则等。 2. **控制...

    springSecurity3中文文档

    第一章:一个不安全应用的剖析 第二章:springsecurity起步 第三章:增强用户体验 第四章:凭证安全存储 ...第九章:LDAP目录服务 第十章:使用中心认证服务 第十一章:客户端证书认证 第十二章:spring Security扩展

    SpringSecurity.pdf

    Spring Security提供了丰富的认证机制,支持多种认证方式,包括但不限于表单认证、LDAP认证、CAS认证等。认证成功后,用户的身份会被标记为已认证,然后系统根据用户的权限来进行授权,授权是指决定一个已认证的用户...

    spring security 官方文档

    9. **自定义**:Spring Security非常灵活,允许开发者根据需求自定义大部分组件,如访问决策管理器、权限评估器等,以满足特定业务场景。 10. **与其他Spring框架的集成**:Spring Security与Spring Boot、Spring ...

    spring-ldap1.3.1

    Spring LDAP很好地融入了Spring生态,可以与其他Spring模块(如Spring JDBC、Spring Security)无缝集成。这使得在处理多种数据存储时,代码风格和事务管理保持一致。 6. "lib"文件夹: 压缩包中的"lib"文件夹很...

    Spring Security LDAP 全选管理框架 中文版

    #### 三、Spring Security的配置与使用 **3.1 命名空间配置** 为了简化配置过程,Spring Security提供了命名空间配置的支持。这种方式比传统的XML bean配置更为直观和简洁。通过使用Spring Security的命名空间,...

    浅谈Spring Security LDAP简介

    Spring Security LDAP是Spring Security框架中的一部分,提供了对LDAP的支持,使得开发者可以轻松地集成LDAP身份验证和授权机制到自己的项目中。 二、Maven Dependency 要使用Spring Security LDAP,需要在Maven...

    Spring+LDAP实现单点登录

    在Spring+LDAP的SSO系统中,当用户首次登录时,其凭证被提交到中央认证服务器(通常是一个Spring Security配置的控制器),服务器通过与LDAP服务器交互验证用户身份。成功后,生成一个安全的票据(例如JWT或Ticket ...

    spring security3.0所需要的最精简的jar包

    3. **spring-security-config-3.1.3.RELEASE.jar**:配置模块提供了基于XML和注解的安全配置方式。通过在Spring配置文件中定义`&lt;http&gt;`、`&lt;authentication-manager&gt;`等元素,或使用`@EnableGlobalAuthentication`、`...

    Spring Security 3 中文 chm

    本资源包含Spring Security 3的官方文档中文版、权限管理手册中文版以及相关的教程,对于学习和理解Spring Security 3的功能和用法非常有帮助。 首先,让我们深入了解一下Spring Security的核心概念: 1. **身份...

Global site tag (gtag.js) - Google Analytics