使用 Spring LDAP 进行用户身份验证

本节介绍使用 Spring LDAP 进行用户身份验证。它包含以下主题

基本身份验证

虽然ContextSource 的核心功能是为LdapClientLdapTemplate 提供DirContext 实例,但您也可以使用它来验证用户是否已连接到 LDAP 服务器。ContextSourcegetContext(principal, credentials) 方法正是这样做的。它根据ContextSource 配置构建DirContext 实例,并使用提供的用户名和密码验证上下文。自定义身份验证方法可能如下例所示

public boolean authenticate(String userDn, String credentials) {
  DirContext ctx = null;
  try {
    ctx = contextSource.getContext(userDn, credentials);
    return true;
  } catch (Exception e) {
    // Context creation failed - authentication did not succeed
    logger.error("Login failed", e);
    return false;
  } finally {
    // It is imperative that the created DirContext instance is always closed
    LdapUtils.closeContext(ctx);
  }
}

提供给authenticate 方法的userDn 必须是待验证用户的完整 DN(无论ContextSource 上的base 设置如何)。您通常需要根据(例如)用户名执行 LDAP 搜索以获取此 DN。以下示例展示了如何执行此操作

private String getDnForUser(String uid) {
  List<String> result = ldapClient.search()
      .query(query().where("uid").is(uid))
      .toList((Object ctx) -> ((DirContextOperations) ctx).getNameInNamespace());

  if(result.size() != 1) {
    throw new RuntimeException("User not found or not unique");
  }

  return result.get(0);
}

这种方法有一些缺点。您被迫关注用户的 DN,只能搜索用户的 uid,并且搜索始终从树的根部(空路径)开始。更灵活的方法将允许您指定搜索基础、搜索过滤器和凭据。Spring LDAP 在LdapClient 中包含一个身份验证方法,该方法提供了此功能。

当您使用此方法时,身份验证变得像以下示例一样简单

示例 1. 使用 Spring LDAP 验证用户
ldapClient.authenticate().query(query().where("uid").is("john.doe")).password("secret").execute();
对已验证上下文执行操作 中所述,某些设置可能需要您执行其他操作才能使实际身份验证发生。有关详细信息,请参阅对已验证上下文执行操作
不要编写您自己的自定义身份验证方法。使用 Spring LDAP 中提供的身份验证方法。

对已验证上下文执行操作

一些身份验证方案和 LDAP 服务器要求对创建的 DirContext 实例执行某些操作才能进行实际的身份验证。您应该测试并确保您的服务器设置和身份验证方案的行为方式。如果不这样做,可能会导致用户无论提供的 DN 和凭据如何,都能够进入您的系统。以下示例展示了对身份验证方法的简单实现,其中在经过身份验证的上下文中执行了硬编码的 lookup 操作

public boolean myAuthenticate(String userDn, String credentials) {
  DirContext ctx = null;
  try {
    ctx = contextSource.getContext(userDn, credentials);
    // Take care here - if a base was specified on the ContextSource
    // that needs to be removed from the user DN for the lookup to succeed.
    ctx.lookup(userDn);
    return true;
  } catch (Exception e) {
    // Context creation failed - authentication did not succeed
    logger.error("Login failed", e);
    return false;
  } finally {
    // It is imperative that the created DirContext instance is always closed
    LdapUtils.closeContext(ctx);
  }
}

最好是将操作作为回调接口的实现提供,而不是将操作限制为始终是 lookup。Spring LDAP 包含 AuthenticatedLdapEntryContextMapper 回调接口和相应的 authenticate 方法。

此方法允许在经过身份验证的上下文中执行任何操作,如下所示

示例 2. 使用 Spring LDAP 在经过身份验证的上下文中执行 LDAP 操作
AuthenticatedLdapEntryContextMapper<DirContextOperations> mapper = new AuthenticatedLdapEntryContextMapper<DirContextOperations>() {
  public DirContextOperations mapWithContext(DirContext ctx, LdapEntryIdentification ldapEntryIdentification) {
    try {
      return (DirContextOperations) ctx.lookup(ldapEntryIdentification.getRelativeName());
    }
    catch (NamingException e) {
      throw new RuntimeException("Failed to lookup " + ldapEntryIdentification.getRelativeName(), e);
    }
  }
};

ldapClient.authenticate().query(query().where("uid").is("john.doe")).password("secret").execute(mapper);

已过时的身份验证方法

除了前面部分中描述的 authenticate 方法之外,您还可以使用多种已弃用的方法进行身份验证。虽然这些方法可以正常工作,但我们建议使用 LdapQuery 方法代替。

使用 Spring Security

虽然前面部分中描述的方法可能足以满足简单的身份验证场景,但该领域的常见需求会迅速扩展。涉及多个方面,包括身份验证、授权、Web 集成、用户上下文管理等。如果您怀疑需求可能会扩展到简单的身份验证之外,您绝对应该考虑使用 Spring Security 来满足您的安全需求。它是一个功能齐全、成熟的安全框架,可以解决上述方面以及其他几个方面。