使用 LDAP 对用户进行身份验证

本指南将引导您完成创建应用程序并使用弹簧安全LDAP 模块。

您将构建什么

您将构建一个简单的Web应用程序，该应用程序由Spring Security的嵌入式基于Java的LDAP服务器保护。您将使用包含一组用户的数据文件加载 LDAP 服务器。

你需要什么

• 约15分钟
• 最喜欢的文本编辑器或 IDE
• JDK 1.8或以后
• 格拉德尔 4+​或梅文 3.2+
• 您也可以将代码直接导入到 IDE 中：

• 弹簧工具套件 （STS）
• 智能理念
• VSCode

如何完成本指南

像大多数春天一样入门指南，您可以从头开始并完成每个步骤，也可以绕过您已经熟悉的基本设置步骤。无论哪种方式，您最终都会得到工作代码。

要从头开始，请继续从 Spring 初始化开始.

要跳过基础知识，请执行以下操作：

• 下载​并解压缩本指南的源存储库，或使用吉特:git clone https://github.com/spring-guides/gs-authenticating-ldap.git
• 光盘成gs-authenticating-ldap/initial
• 跳转到创建简单的 Web 控制器.

完成后，您可以根据 中的代码检查结果。​​gs-authenticating-ldap/complete​​

从 Spring 初始化开始

你可以使用这个预初始化项目，然后单击生成以下载 ZIP 文件。此项目配置为适合本教程中的示例。

手动初始化项目：

1. 导航到https://start.spring.io.此服务拉入应用程序所需的所有依赖项，并为您完成大部分设置。
2. 选择 Gradle 或 Maven 以及您要使用的语言。本指南假定您选择了 Java。
3. 单击“依赖关系”，然后选择“Spring Web”。
4. 单击生成。
5. 下载生成的 ZIP 文件，该文件是配置了您选择的 Web 应用程序的存档。

创建简单的 Web 控制器

在Spring中，REST端点是Spring MVC控制器。以下Spring MVC控制器（来自）通过返回一条简单的消息来处理请求：​​src/main/java/com/example/authenticatingldap/HomeController.java​​​​GET /​​

package com.example.authenticatingldap;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HomeController {

  @GetMapping("/")
  public String index() {
    return "Welcome to the home page!";
  }

}

整个类都标有，以便Spring MVC可以自动检测控制器（通过使用其内置的扫描功能）并自动配置必要的Web路由。​​@RestController​​

​​@RestController​​还告诉 Spring MVC 将文本直接写入 HTTP 响应体，因为没有视图。相反，当您访问该页面时，您会在浏览器中收到一条简单的消息（因为本指南的重点是使用 LDAP 保护页面）。

生成不安全的 Web 应用程序

在保护 Web 应用程序之前，应验证它是否正常工作。为此，您需要定义一些键 bean，您可以通过创建一个类来完成。以下清单（来自）显示了该类：​​Application​​​​src/main/java/com/example/authenticatingldap/AuthenticatingLdapApplication.java​​

package com.example.authenticatingldap;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class AuthenticatingLdapApplication {

  public static void main(String[] args) {
    SpringApplication.run(AuthenticatingLdapApplication.class, args);
  }

}

​​@SpringBootApplication​​是一个方便的注释，它添加了以下所有内容：

• ​​@Configuration​​：将类标记为应用程序上下文的 Bean 定义源。
• ​​@EnableAutoConfiguration​​：告诉 Spring 引导根据类路径设置、其他 bean 和各种属性设置开始添加 bean。例如，如果 在类路径上，则此注释会将应用程序标记为 Web 应用程序并激活关键行为，例如设置 .spring-webmvcDispatcherServlet
• ​​@ComponentScan​​：告诉 Spring 在包中查找其他组件、配置和服务，让它找到控制器。com/example

该方法使用 Spring Boot 的方法启动应用程序。您是否注意到没有一行 XML？也没有文件。此 Web 应用程序是 100% 纯 Java，您无需处理配置任何管道或基础结构。​​main()​​​​SpringApplication.run()​​​​web.xml​​

构建可执行的 JAR

您可以使用 Gradle 或 Maven 从命令行运行应用程序。您还可以构建一个包含所有必需依赖项、类和资源的可执行 JAR 文件并运行该文件。通过构建可执行 jar，可以轻松地在整个开发生命周期中跨不同环境等将服务作为应用程序进行交付、版本控制和部署。

如果使用 Gradle，则可以使用 .或者，您可以使用 JAR 文件生成 JAR 文件，然后运行该文件，如下所示：​​./gradlew bootRun​​​​./gradlew build​​

java -jar build/libs/gs-authenticating-ldap-0.1.0.jar

如果使用 Maven，则可以使用 运行应用程序。或者，您可以使用 JAR 文件生成 JAR 文件，然后运行该文件，如下所示：​​./mvnw spring-boot:run​​​​./mvnw clean package​​

java -jar target/gs-authenticating-ldap-0.1.0.jar

如果您打开浏览器并访问​​http://localhost:8080​​，您应该看到以下纯文本：

Welcome to the home page!

设置 Spring 安全性

要配置 Spring 安全性，您首先需要向构建添加一些额外的依赖项。

对于基于 Gradle 的版本，请将以下依赖项添加到文件中：​​build.gradle​​

implementation("org.springframework.boot:spring-boot-starter-security")
implementation("org.springframework.ldap:spring-ldap-core")
implementation("org.springframework.security:spring-security-ldap")
implementation("com.unboundid:unboundid-ldapsdk")

对于基于 Maven 的生成，请将以下依赖项添加到文件中：​​pom.xml​​

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.ldap</groupId>
    <artifactId>spring-ldap-core</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-ldap</artifactId>
</dependency>
<dependency>
    <groupId>com.unboundid</groupId>
    <artifactId>unboundid-ldapsdk</artifactId>
</dependency>

这些依赖项添加了Spring Security和UnboundId，一个开源的LDAP服务器。有了这些依赖关系，您就可以使用纯 Java 来配置安全策略，如以下示例（来自）所示：​​src/main/java/com/example/authenticatingldap/WebSecurityConfig.java​​

package com.example.authenticatingldap;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.Customizer;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;
import org.springframework.beans.factory.annotation.Autowired;


@Configuration
public class WebSecurityConfig {

  @Bean
  public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
      .authorizeRequests()
        .anyRequest().fullyAuthenticated()
        .and()
      .formLogin();

    return http.build();
  }

  @Autowired
  public void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
      .ldapAuthentication()
        .userDnPatterns("uid={0},ou=people")
        .groupSearchBase("ou=groups")
        .contextSource()
          .url("ldap://localhost:8389/dc=springframework,dc=org")
          .and()
        .passwordCompare()
          .passwordEncoder(new BCryptPasswordEncoder())
          .passwordAttribute("userPassword");
  }

}

//@Configuration
//public class WebSecurityConfig {

//  @Bean
//  public SecurityFilterChain configure(HttpSecurity http) throws Exception {
//    return http
//      .authorizeRequests()
//      .anyRequest().authenticated()
//      .and()
//      .formLogin(Customizer.withDefaults())
//      .build();
//  }
//}

要自定义安全设置，请使用 .在上面的示例中，这是通过覆盖实现接口的方法来完成的。​​WebSecurityConfigurer​​​​WebSecurityConfigurerAdapter​​​​WebSecurityConfigurer​​

您还需要一个 LDAP 服务器。Spring Boot 为用纯 Java 编写的嵌入式服务器提供了自动配置，本指南使用了该服务器。该方法配置内容，以便将登录表单中的用户名插入其中，以便在LDAP服务器中进行搜索。此外，该方法还配置编码器和密码属性的名称。​​ldapAuthentication()​​​​{0}​​​​uid={0},ou=people,dc=springframework,dc=org​​​​passwordCompare()​​

设置用户数据

LDAP 服务器可以使用 LDIF（LDAP 数据交换格式）文件来交换用户数据。里面的属性允许 Spring Boot 拉入 LDIF 数据文件。这使得预加载演示数据变得容易。以下清单（来自 ）显示了适用于此示例的 LDIF 文件：​​spring.ldap.embedded.ldif​​​​application.properties​​​​src/main/resources/test-server.ldif​​

dn: dc=springframework,dc=org
objectclass: top
objectclass: domain
objectclass: extensibleObject
dc: springframework

dn: ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: groups

dn: ou=subgroups,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: subgroups

dn: ou=people,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: people

dn: ou=space cadets,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: space cadets

dn: ou=\"quoted people\",dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: "quoted people"

dn: ou=otherpeople,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: otherpeople

dn: uid=ben,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Ben Alex
sn: Alex
uid: ben
userPassword: $2a$10$c6bSeWPhg06xB1lvmaWNNe4NROmZiSpYhlocU/98HNr2MhIOiSt36

dn: uid=bob,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Bob Hamilton
sn: Hamilton
uid: bob
userPassword: bobspassword

dn: uid=joe,ou=otherpeople,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Joe Smeth
sn: Smeth
uid: joe
userPassword: joespassword

dn: cn=mouse\, jerry,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Mouse, Jerry
sn: Mouse
uid: jerry
userPassword: jerryspassword

dn: cn=slash/guy,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: slash/guy
sn: Slash
uid: slashguy
userPassword: slashguyspassword

dn: cn=quote\"guy,ou=\"quoted people\",dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: quote\"guy
sn: Quote
uid: quoteguy
userPassword: quoteguyspassword

dn: uid=space cadet,ou=space cadets,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Space Cadet
sn: Cadet
uid: space cadet
userPassword: spacecadetspassword



dn: cn=developers,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: developers
ou: developer
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org
uniqueMember: uid=bob,ou=people,dc=springframework,dc=org

dn: cn=managers,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: managers
ou: manager
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org
uniqueMember: cn=mouse\, jerry,ou=people,dc=springframework,dc=org

dn: cn=submanagers,ou=subgroups,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: submanagers
ou: submanager
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org

如果您访问该网站​​http://localhost:8080​​，您应该被重定向到 Spring 安全性提供的登录页面。

输入 的用户名和密码。您应该在浏览器中看到以下消息：​​ben​​​​benspassword​​

Welcome to the home page!

总结

祝贺！您已经编写了一个 Web 应用程序并使用​​弹簧安全​​.在本例中，您使用了​​基于 LDAP 的用户存储​​.