【總結(jié)】基于Spring LDAP和Spring Security的用戶認(rèn)證和權(quán)限控制Web實(shí)現(xiàn)

利用LDAP服務(wù)，使用Spring LDAP,Spring Security實(shí)現(xiàn)Web項(xiàng)目用戶認(rèn)證和簡(jiǎn)單的權(quán)限控制。實(shí)現(xiàn)多系統(tǒng)賬號(hào)統(tǒng)一。

1、基于EHR的LDAP用戶信息

LDAP是輕量目錄訪問(wèn)協(xié)議，英文全稱是Lightweight Directory Access Protocol，一般都簡(jiǎn)稱為L(zhǎng)DAP。LDAP目錄以樹(shù)狀的層次結(jié)構(gòu)來(lái)存儲(chǔ)數(shù)據(jù)。如果你對(duì)自頂向下的DNS樹(shù)或UNIX文件的目錄樹(shù)比較熟悉，也就很容易掌LDAP目錄樹(shù)這個(gè)概念了。就象DNS的主機(jī)名那樣，LDAP目錄記錄的標(biāo)識(shí)名（Distinguished Name，簡(jiǎn)稱DN）是用來(lái)讀取單個(gè)記錄，以及回溯到樹(shù)的頂部

例如，DN: cn=ZH201506006,ou=大數(shù)據(jù)平臺(tái)研發(fā)工程師,ou=大數(shù)據(jù)平臺(tái)部,ou=技術(shù)中心,ou=職能,dc=openldap,dc=jw,dc=cn

LDAP中組織結(jié)構(gòu)以及用戶數(shù)據(jù)是從EHR系統(tǒng)中同步而來(lái)，

其中Group，記錄各個(gè)角色下的用戶成員

組織結(jié)構(gòu)：

Group信息，AUTHORITY_SYSTEM_ADMIN下有一個(gè)member是cn=ZH201506006,ou=大數(shù)據(jù)平臺(tái)研發(fā)工程師,ou=大數(shù)據(jù)平臺(tái)部,ou=技術(shù)中心,ou=職能,dc=openldap,dc=jw,dc=cn

用戶信息：

2、實(shí)現(xiàn)基于LDAP用戶認(rèn)證

Web項(xiàng)目中實(shí)現(xiàn)基于LDAP認(rèn)證，主要完成以下工作

1. spring-security.xml，基于spring security的配置文件

2. ldap.properties ，配置文件spring-security.xml中引用的常量

3. MyAuthenticationProvider.java 自定義的用戶認(rèn)證類

4. AuthoritiesPopulator.java 自定義權(quán)限組

代碼以及注釋參考：https://github.com/chocolateBlack/authority-spring-security

3、實(shí)現(xiàn)基于Spring Sentry權(quán)限控制

Web項(xiàng)目中實(shí)現(xiàn)基于Spring Sentry權(quán)限控制，主要完成以下工作

1. 在spring-security.xml配置
   <global-method-security secured-annotations="enabled" pre-post-annotations="enabled" jsr250-annotations="enabled" />
   說(shuō)明參考：https://vincentmi.gitbooks.io/spring-security-reference-zh/content/4.4_method_security.html

2. 在spring-security.xml中配置

<http security="none" pattern="/login.jsp" />

<http auto-config="true">

<intercept-url pattern="/check" access="IS_AUTHENTICATED_ANONYMOUSLY"/>

<intercept-url pattern="/admin" access="ROLE_AUTHORITY_SYSTEM_ADMIN"/>

</http>

說(shuō)明參考：https://vincentmi.gitbooks.io/spring-security-reference-zh/content/4.2_getting_started%20with_security_namespace_configuration.html