基于LDAP进行验证-方法和问题

原文 http://apps.hi.baidu.com/share/detail/50011933

随着LDAP的发展和趋于成熟，基于LDAP的应用也越来越广泛，这些应用往往都离不开身份验证。这里就来说一下基于LDAP的目录服务进行验证。
和利用数据库进行验证类似，LDAP中也是利用登陆名和密码进行验证，LDAP中会定义一个属性password，用来存放用户密码，而登陆名使用较多的都是mail地址。那怎么样才能正确的用LDAP进行身份验证呢，下面是一个正确而又通用的步骤：
1. 从客户端得到登陆名和密码。注意这里的登陆名和密码一开始并没有被用到。
2. 先匿名绑定到LDAP服务器，如果LDAP服务器没有启用匿名绑定，一般会提供一个默认的用户，用这个用户进行绑定即可。
3. 之前输入的登陆名在这里就有用了，当上一步绑定成功以后，需要执行一个搜索，而filter就是用登陆名来构造，形如： "(|(uid=$login)(mail=$login))" ，这里的login就是登陆名。搜索执行完毕后，需要对结果进行判断，如果只返回一个entry，这个就是包含了该用户信息的entry，可以得到该 entry的DN，后面使用。如果返回不止一个或者没有返回，说明用户名输入有误，应该退出验证并返回错误信息。
4. 如果能进行到这一步，说明用相应的用户，而上一步执行时得到了用户信息所在的entry的DN，这里就需要用这个DN和第一步中得到的password重新绑定LDAP服务器。
5. 执行完上一步，验证的主要过程就结束了，如果能成功绑定，那么就说明验证成功，如果不行，则应该返回密码错误的信息。
这5大步就是基于LDAP的一个 “两次绑定” 验证方法，下面这个图能更形象的说明这个过程：

图：基于LDAP的 “两次绑定” 验证流程
为什么基于LDAP进行验证需要“两次”绑定呢，为什么不能取出password然后和输入进行比较呢，试想一下，如果需要读出密码，服务器上的密码存储 要么就不加密，直接可以读出，要么客户就需要知道服务器使用的加密方式，这是不安全，也是不好的，服务器不希望加密方式让客户端知道，客户端也不需要知道 这么多。而从实际来看，LDAP服务器对于password属性默认都是不可读的，甚至有的服务器根本就不支持password属性可读，遇到这种情况， 也就没有办法取得密码了。
还有一个问题就是，为什么我们需要第一次绑定？为什么不直接使用DN呢，首先就是关于这个DN，对于一般的客户端程序，其并不知道具体的DN是什么。再者 让用户输入DN，给用户带来不便的同时，验证也带来问题，因为如果输入的是个目录树而不是所期望的DN，在进行绑定时有可能会让服务器产生不可预料的错 误。
从上面看来，基于LDAP进行身份验证，最好也是最通用的方法就是 “两次绑定”。