如何在Spring Boot中使用LDAP管理用戶信息

如何在Spring Boot中使用LDAP管理用戶信息？很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

LDAP簡(jiǎn)介

LDAP（輕量級(jí)目錄訪問(wèn)協(xié)議，Lightweight Directory Access Protocol)是實(shí)現(xiàn)提供被稱為目錄服務(wù)的信息服務(wù)。目錄服務(wù)是一種特殊的數(shù)據(jù)庫(kù)系統(tǒng)，其專門(mén)針對(duì)讀取，瀏覽和搜索操作進(jìn)行了特定的優(yōu)化。目錄一般用來(lái)包含描述性的，基于屬性的信息并支持精細(xì)復(fù)雜的過(guò)濾能力。目錄一般不支持通用數(shù)據(jù)庫(kù)針對(duì)大量更新操作操作需要的復(fù)雜的事務(wù)管理或回卷策略。而目錄服務(wù)的更新則一般都非常簡(jiǎn)單。這種目錄可以存儲(chǔ)包括個(gè)人信息、web鏈結(jié)、jpeg圖像等各種信息。為了訪問(wèn)存儲(chǔ)在目錄中的信息，就需要使用運(yùn)行在TCP/IP 之上的訪問(wèn)協(xié)議—LDAP。

LDAP目錄中的信息是是按照樹(shù)型結(jié)構(gòu)組織，具體信息存儲(chǔ)在條目(entry)的數(shù)據(jù)結(jié)構(gòu)中。條目相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中表的記錄；條目是具有區(qū)別名DN （Distinguished Name）的屬性（Attribute），DN是用來(lái)引用條目的，DN相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)表中的關(guān)鍵字（Primary Key）。屬性由類型（Type）和一個(gè)或多個(gè)值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中的字段（Field）由字段名和數(shù)據(jù)類型組成，只是為了方便檢索的需要，LDAP中的Type可以有多個(gè)Value，而不是關(guān)系數(shù)據(jù)庫(kù)中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。LDAP中條目的組織一般按照地理位置和組織關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫(kù)，而不是關(guān)系數(shù)據(jù)庫(kù)。類型的一個(gè)例子就是mail，其值將是一個(gè)電子郵件地址。

LDAP的信息是以樹(shù)型結(jié)構(gòu)存儲(chǔ)的，在樹(shù)根一般定義國(guó)家(c=CN)或域名(dc=com)，在其下則往往定義一個(gè)或多個(gè)組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個(gè)組織單元可能包含諸如所有雇員、大樓內(nèi)的所有打印機(jī)等信息。此外，LDAP支持對(duì)條目能夠和必須支持哪些屬性進(jìn)行控制，這是有一個(gè)特殊的稱為對(duì)象類別(objectClass)的屬性來(lái)實(shí)現(xiàn)的。該屬性的值決定了該條目必須遵循的一些規(guī)則，其規(guī)定了該條目能夠及至少應(yīng)該包含哪些屬性。例如：inetorgPerson對(duì)象類需要支持sn(surname)和cn(common name)屬性，但也可以包含可選的如郵件，電話號(hào)碼等屬性。

LDAP簡(jiǎn)稱對(duì)應(yīng)

1. o：organization（組織-公司）

2. ou：organization unit（組織單元-部門(mén)）

3. c：countryName（國(guó)家）

4. dc：domainComponent（域名）

5. sn：suer name（真實(shí)名稱）

6. cn：common name（常用名稱）

入門(mén)示例

在了解了LDAP的基礎(chǔ)概念之后，我們通過(guò)一個(gè)簡(jiǎn)單例子進(jìn)一步理解！

創(chuàng)建一個(gè)基礎(chǔ)的Spring Boot項(xiàng)目（如果您還不會(huì)，可以參考這兩篇文章：入門(mén)1或入門(mén)2）

在pom.xml中引入兩個(gè)重要依賴

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-ldap</artifactId>
</dependency>

<dependency>
  <groupId>com.unboundid</groupId>
  <artifactId>unboundid-ldapsdk</artifactId>
  <scope>test</scope>
</dependency>

其中，spring-boot-starter-data-ldap是Spring Boot封裝的對(duì)LDAP自動(dòng)化配置的實(shí)現(xiàn)，它是基于spring-data-ldap來(lái)對(duì)LDAP服務(wù)端進(jìn)行具體操作的。

而unboundid-ldapsdk主要是為了在這里使用嵌入式的LDAP服務(wù)端來(lái)進(jìn)行測(cè)試操作，所以scope設(shè)置為了test，實(shí)際應(yīng)用中，我們通常會(huì)連接真實(shí)的、獨(dú)立部署的LDAP服務(wù)器，所以不需要此項(xiàng)依賴。

在src/test/resources目錄下創(chuàng)建ldap-server.ldif文件，用來(lái)存儲(chǔ)LDAP服務(wù)端的基礎(chǔ)數(shù)據(jù)，以備后面的程序訪問(wèn)之用。

dn: dc=didispace,dc=com
objectClass: top
objectClass: domain

dn: ou=people,dc=didispace,dc=com
objectclass: top
objectclass: organizationalUnit
ou: people

dn: uid=ben,ou=people,dc=didispace,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: didi
sn: zhaiyongchao
uid: didi
userPassword: {SHA}nFCebWjxfaLbHHG1Qk5UU4trbvQ=

這里創(chuàng)建了一個(gè)基礎(chǔ)用戶，真實(shí)姓名為zhaiyongchao,常用名didi，在后面的程序中，我們會(huì)來(lái)讀取這些信息。更多內(nèi)容解釋大家可以深入學(xué)習(xí)LDAP來(lái)理解，這里不做過(guò)多的講解。

在application.properties中添加嵌入式LDAP的配置

spring.ldap.embedded.ldif=ldap-server.ldif
spring.ldap.embedded.base-dn=dc=didispace,dc=com

使用spring-data-ldap的基礎(chǔ)用法，定義LDAP中屬性與我們Java中定義實(shí)體的關(guān)系映射以及對(duì)應(yīng)的Repository

@Data
@Entry(base = "ou=people,dc=didispace,dc=com", objectClasses = "inetOrgPerson")
public class Person {

  @Id
  private Name id;
  @DnAttribute(value = "uid", index = 3)
  private String uid;
  @Attribute(name = "cn")
  private String commonName;
  @Attribute(name = "sn")
  private String suerName;
  private String userPassword;
}

public interface PersonRepository extends CrudRepository<Person, Name> {
}

通過(guò)上面的定義之后，已經(jīng)將Person對(duì)象與LDAP存儲(chǔ)內(nèi)容實(shí)現(xiàn)了映射，我們只需要使用PersonRepository就可以輕松的對(duì)LDAP內(nèi)容實(shí)現(xiàn)讀寫(xiě)。

創(chuàng)建單元測(cè)試用例讀取所有用戶信息：

@RunWith(SpringRunner.class)
@SpringBootTest
public class ApplicationTests {

  @Autowired
  private PersonRepository personRepository;

  @Test
  public void findAll() throws Exception {
    personRepository.findAll().forEach(p -> {
      System.out.println(p);
    });
  }
}

啟動(dòng)該測(cè)試用例之后，我們可以看到控制臺(tái)中輸出了剛才維護(hù)在ldap-server.ldif中的用戶信息：

2018-01-27 14:25:06.283  WARN 73630 --- [           main] o.s.ldap.odm.core.impl.ObjectMetaData    : The Entry class Person should be declared final
Person(id=uid=ben,ou=people,dc=didispace,dc=com, uid=ben, commonName=didi, suerName=zhaiyongchao, userPassword=123,83,72,65,125,110,70,67,101,98,87,106,120,102,97,76,98,72,72,71,49,81,107,53,85,85,52,116,114,98,118,81,61)

添加用戶

通過(guò)上面的入門(mén)示例，如果您能夠獨(dú)立完成，那么在Spring Boot中操作LDAP的基礎(chǔ)目標(biāo)已經(jīng)完成了。

如果您足夠了解Spring Data，其實(shí)不難想到，這個(gè)在其下的子項(xiàng)目必然也遵守Repsitory的抽象。所以，我們可以使用上面定義的PersonRepository來(lái)輕松實(shí)現(xiàn)操作，比如下面的代碼就可以方便的往LDAP中添加用戶：

Person person = new Person();
person.setUid("uid:1");
person.setSuerName("AAA");
person.setCommonName("aaa");
person.setUserPassword("123456");
personRepository.save(person);

如果還想實(shí)現(xiàn)更多操作，您可以參考spring-data-ldap的文檔來(lái)進(jìn)行使用。

連接LDAP服務(wù)端

在本文的例子中都采用了嵌入式的LDAP服務(wù)器，事實(shí)上這種方式也僅限于我們本地測(cè)試開(kāi)發(fā)使用，真實(shí)環(huán)境下LDAP服務(wù)端必然是獨(dú)立部署的。

在Spring Boot的封裝下，我們只需要配置下面這些參數(shù)就能將上面的例子連接到遠(yuǎn)端的LDAP而不是嵌入式的LDAP。

spring.ldap.urls=ldap://localhost:1235
spring.ldap.base=dc=didispace,dc=com
spring.ldap.username=didispace
spring.ldap.password=123456

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。