LDAP 身份验证

LDAP(轻量级目录访问协议)通常被组织用作用户信息的中央存储库和身份验证服务。它还可以用于存储应用程序用户的角色信息。

当 Spring Security 配置为接受用户名/密码进行身份验证时,Spring Security 的基于 LDAP 的身份验证将被使用。但是,尽管使用用户名和密码进行身份验证,它不使用 UserDetailsService,因为在绑定身份验证中,LDAP 服务器不返回密码,因此应用程序无法执行密码验证。

LDAP 服务器的配置方式有很多不同的场景,因此 Spring Security 的 LDAP 提供程序是完全可配置的。它使用单独的策略接口进行身份验证和角色检索,并提供默认实现,这些实现可以配置为处理各种情况。

所需依赖项

要开始,请将 spring-security-ldap 依赖项添加到您的项目中。使用 Spring Boot 时,请添加以下依赖项

Spring Security LDAP 依赖项

  • Maven

  • Gradle

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-ldap</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-ldap</artifactId>
</dependency>
depenendencies {
    implementation "org.springframework.boot:spring-boot-starter-data-ldap"
    implementation "org.springframework.security:spring-security-ldap"
}

先决条件

在尝试将 LDAP 与 Spring Security 一起使用之前,您应该熟悉 LDAP。以下链接提供了对相关概念的良好介绍,以及使用免费 LDAP 服务器 OpenLDAP 设置目录的指南:www.zytrax.com/books/ldap/。对用于从 Java 访问 LDAP 的 JNDI API 也有一定的了解会很有帮助。我们在 LDAP 提供程序中不使用任何第三方 LDAP 库(Mozilla、JLDAP 或其他库),但大量使用了 Spring LDAP,因此如果您计划添加自己的自定义项,对该项目的了解可能会有所帮助。

使用 LDAP 身份验证时,应确保正确配置 LDAP 连接池。如果您不熟悉如何操作,请参阅Java LDAP 文档

设置嵌入式 LDAP 服务器

您需要做的第一件事是确保您拥有一个要将其指向配置的 LDAP 服务器。为简单起见,通常最好从嵌入式 LDAP 服务器开始。Spring Security 支持使用以下任一服务器:

在以下示例中,我们将 users.ldif 作为类路径资源公开,以使用两个用户(useradmin)初始化嵌入式 LDAP 服务器,这两个用户的密码均为 password

users.ldif
dn: ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: groups

dn: ou=people,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: people

dn: uid=admin,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Rod Johnson
sn: Johnson
uid: admin
userPassword: password

dn: uid=user,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Dianne Emu
sn: Emu
uid: user
userPassword: password

dn: cn=user,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfNames
cn: user
member: uid=admin,ou=people,dc=springframework,dc=org
member: uid=user,ou=people,dc=springframework,dc=org

dn: cn=admin,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfNames
cn: admin
member: uid=admin,ou=people,dc=springframework,dc=org

嵌入式 UnboundID 服务器

如果您希望使用 UnboundID,请指定以下依赖项

UnboundID 依赖项

  • Maven

  • Gradle

<dependency>
	<groupId>com.unboundid</groupId>
	<artifactId>unboundid-ldapsdk</artifactId>
	<version>6.0.11</version>
	<scope>runtime</scope>
</dependency>
depenendencies {
	runtimeOnly "com.unboundid:unboundid-ldapsdk:6.0.11"
}

然后,您可以使用 EmbeddedLdapServerContextSourceFactoryBean 配置嵌入式 LDAP 服务器。这将指示 Spring Security 启动一个内存中的 LDAP 服务器。

嵌入式 LDAP 服务器配置

  • Java

  • Kotlin

@Bean
public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
	return EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
}
@Bean
fun contextSourceFactoryBean(): EmbeddedLdapServerContextSourceFactoryBean {
    return EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer()
}

或者,您可以手动配置嵌入式 LDAP 服务器。如果您选择此方法,则需要负责管理嵌入式 LDAP 服务器的生命周期。

显式嵌入式 LDAP 服务器配置

  • Java

  • XML

  • Kotlin

@Bean
UnboundIdContainer ldapContainer() {
	return new UnboundIdContainer("dc=springframework,dc=org",
				"classpath:users.ldif");
}
<b:bean class="org.springframework.security.ldap.server.UnboundIdContainer"
	c:defaultPartitionSuffix="dc=springframework,dc=org"
	c:ldif="classpath:users.ldif"/>
@Bean
fun ldapContainer(): UnboundIdContainer {
    return UnboundIdContainer("dc=springframework,dc=org","classpath:users.ldif")
}

嵌入式 ApacheDS 服务器

Spring Security 使用 ApacheDS 1.x,该版本不再维护。不幸的是,ApacheDS 2.x 仅发布了里程碑版本,没有稳定版本。一旦 ApacheDS 2.x 的稳定版本可用,我们将考虑更新。

如果您希望使用 Apache DS,请指定以下依赖项

ApacheDS 依赖项

  • Maven

  • Gradle

<dependency>
	<groupId>org.apache.directory.server</groupId>
	<artifactId>apacheds-core</artifactId>
	<version>1.5.5</version>
	<scope>runtime</scope>
</dependency>
<dependency>
	<groupId>org.apache.directory.server</groupId>
	<artifactId>apacheds-server-jndi</artifactId>
	<version>1.5.5</version>
	<scope>runtime</scope>
</dependency>
depenendencies {
	runtimeOnly "org.apache.directory.server:apacheds-core:1.5.5"
	runtimeOnly "org.apache.directory.server:apacheds-server-jndi:1.5.5"
}

然后,您可以配置嵌入式 LDAP 服务器

嵌入式 LDAP 服务器配置

  • Java

  • XML

  • Kotlin

@Bean
ApacheDSContainer ldapContainer() {
	return new ApacheDSContainer("dc=springframework,dc=org",
				"classpath:users.ldif");
}
<b:bean class="org.springframework.security.ldap.server.ApacheDSContainer"
	c:defaultPartitionSuffix="dc=springframework,dc=org"
	c:ldif="classpath:users.ldif"/>
@Bean
fun ldapContainer(): ApacheDSContainer {
    return ApacheDSContainer("dc=springframework,dc=org", "classpath:users.ldif")
}

LDAP ContextSource

一旦您拥有一个要指向其配置的 LDAP 服务器,您需要配置 Spring Security 以指向应用于对用户进行身份验证的 LDAP 服务器。为此,请创建一个 LDAP ContextSource(相当于 JDBC DataSource)。如果您已经配置了 EmbeddedLdapServerContextSourceFactoryBean,则 Spring Security 将创建一个指向嵌入式 LDAP 服务器的 LDAP ContextSource

使用嵌入式 LDAP 服务器的 LDAP Context Source

  • Java

  • Kotlin

@Bean
public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
	EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean =
			EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
	contextSourceFactoryBean.setPort(0);
	return contextSourceFactoryBean;
}
@Bean
fun contextSourceFactoryBean(): EmbeddedLdapServerContextSourceFactoryBean {
    val contextSourceFactoryBean = EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer()
    contextSourceFactoryBean.setPort(0)
    return contextSourceFactoryBean
}

或者,您可以显式配置 LDAP ContextSource 以连接到提供的 LDAP 服务器

LDAP Context Source

  • Java

  • XML

  • Kotlin

ContextSource contextSource(UnboundIdContainer container) {
	return new DefaultSpringSecurityContextSource("ldap://127.0.0.1:53389/dc=springframework,dc=org");
}
<ldap-server
	url="ldap://127.0.0.1:53389/dc=springframework,dc=org" />
fun contextSource(container: UnboundIdContainer): ContextSource {
    return DefaultSpringSecurityContextSource("ldap://127.0.0.1:53389/dc=springframework,dc=org")
}

身份验证

Spring Security 的 LDAP 支持不使用 UserDetailsService,因为 LDAP 绑定身份验证不允许客户端读取密码甚至密码的哈希版本。这意味着无法读取密码,然后由 Spring Security 进行身份验证。

因此,LDAP 支持是通过 LdapAuthenticator 接口实现的。LdapAuthenticator 接口还负责检索任何必需的用户属性。这是因为属性的权限可能取决于所使用的身份验证类型。例如,如果以用户身份绑定,则可能需要使用用户自己的权限读取属性。

Spring Security 提供了两种 LdapAuthenticator 实现

使用绑定身份验证

绑定身份验证 是使用 LDAP 对用户进行身份验证的最常见机制。在绑定身份验证中,用户的凭据(用户名和密码)将提交到 LDAP 服务器,该服务器对其进行身份验证。使用绑定身份验证的优点是用户的密钥(密码)无需公开给客户端,这有助于保护它们免受泄露。

以下示例显示了绑定身份验证配置

绑定身份验证

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapBindAuthenticationManagerFactory factory = new LdapBindAuthenticationManagerFactory(contextSource);
	factory.setUserDnPatterns("uid={0},ou=people");
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
	user-dn-pattern="uid={0},ou=people"/>
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource): AuthenticationManager {
    val factory = LdapBindAuthenticationManagerFactory(contextSource)
    factory.setUserDnPatterns("uid={0},ou=people")
    return factory.createAuthenticationManager()
}

前面的简单示例将通过在提供的模式中替换用户登录名来获取用户的 DN,并尝试以该用户和登录密码的身份进行绑定。如果所有用户都存储在目录中的单个节点下,则此方法可以。相反,如果您希望配置 LDAP 搜索过滤器以查找用户,则可以使用以下方法

带搜索过滤器的绑定身份验证

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapBindAuthenticationManagerFactory factory = new LdapBindAuthenticationManagerFactory(contextSource);
	factory.setUserSearchFilter("(uid={0})");
	factory.setUserSearchBase("ou=people");
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
		user-search-filter="(uid={0})"
	user-search-base="ou=people"/>
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource): AuthenticationManager {
    val factory = LdapBindAuthenticationManagerFactory(contextSource)
    factory.setUserSearchFilter("(uid={0})")
    factory.setUserSearchBase("ou=people")
    return factory.createAuthenticationManager()
}

如果与 前面显示的 ContextSource 定义 一起使用,这将在 DN ou=people,dc=springframework,dc=org 下执行搜索,并使用 (uid={0}) 作为过滤器。同样,用户登录名将替换过滤器名称中的参数,因此它搜索 uid 属性等于用户名的条目。如果未提供用户搜索基础,则从根执行搜索。

使用密码身份验证

密码比较是指将用户提供的密码与存储在存储库中的密码进行比较。这可以通过检索密码属性的值并在本地进行检查来完成,也可以通过执行 LDAP“比较”操作来完成,其中提供的密码将传递给服务器进行比较,并且永远不会检索实际的密码值。当密码使用随机盐正确散列时,无法执行 LDAP 比较。

最小的密码比较配置

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapPasswordComparisonAuthenticationManagerFactory factory = new LdapPasswordComparisonAuthenticationManagerFactory(
			contextSource, NoOpPasswordEncoder.getInstance());
	factory.setUserDnPatterns("uid={0},ou=people");
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
		user-dn-pattern="uid={0},ou=people">
	<password-compare />
</ldap-authentication-provider>
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource?): AuthenticationManager? {
    val factory = LdapPasswordComparisonAuthenticationManagerFactory(
        contextSource, NoOpPasswordEncoder.getInstance()
    )
    factory.setUserDnPatterns("uid={0},ou=people")
    return factory.createAuthenticationManager()
}

以下示例显示了具有某些自定义项的更高级配置

密码比较配置

  • Java

  • XML

  • Kotlin

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource) {
	LdapPasswordComparisonAuthenticationManagerFactory factory = new LdapPasswordComparisonAuthenticationManagerFactory(
			contextSource, new BCryptPasswordEncoder());
	factory.setUserDnPatterns("uid={0},ou=people");
	factory.setPasswordAttribute("pwd");  (1)
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
		user-dn-pattern="uid={0},ou=people">
	<password-compare password-attribute="pwd"> (1)
		<password-encoder ref="passwordEncoder" /> (2)
	</password-compare>
</ldap-authentication-provider>
<b:bean id="passwordEncoder"
	class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
@Bean
fun authenticationManager(contextSource: BaseLdapPathContextSource): AuthenticationManager {
    val factory = LdapPasswordComparisonAuthenticationManagerFactory(
        contextSource, BCryptPasswordEncoder()
    )
    factory.setUserDnPatterns("uid={0},ou=people")
    factory.setPasswordAttribute("pwd") (1)
    return factory.createAuthenticationManager()
}
1 将密码属性指定为 pwd

LdapAuthoritiesPopulator

Spring Security 的 LdapAuthoritiesPopulator 用于确定为用户返回哪些权限。以下示例显示了如何配置 LdapAuthoritiesPopulator

LdapAuthoritiesPopulator 配置

  • Java

  • XML

  • Kotlin

@Bean
LdapAuthoritiesPopulator authorities(BaseLdapPathContextSource contextSource) {
	String groupSearchBase = "";
	DefaultLdapAuthoritiesPopulator authorities =
		new DefaultLdapAuthoritiesPopulator(contextSource, groupSearchBase);
	authorities.setGroupSearchFilter("member={0}");
	return authorities;
}

@Bean
AuthenticationManager authenticationManager(BaseLdapPathContextSource contextSource, LdapAuthoritiesPopulator authorities) {
	LdapBindAuthenticationManagerFactory factory = new LdapBindAuthenticationManagerFactory(contextSource);
	factory.setUserDnPatterns("uid={0},ou=people");
	factory.setLdapAuthoritiesPopulator(authorities);
	return factory.createAuthenticationManager();
}
<ldap-authentication-provider
	user-dn-pattern="uid={0},ou=people"
	group-search-filter="member={0}"/>
@Bean
fun authorities(contextSource: BaseLdapPathContextSource): LdapAuthoritiesPopulator {
    val groupSearchBase = ""
    val authorities = DefaultLdapAuthoritiesPopulator(contextSource, groupSearchBase)
    authorities.setGroupSearchFilter("member={0}")
    return authorities
}

@Bean
fun authenticationManager(
    contextSource: BaseLdapPathContextSource,
    authorities: LdapAuthoritiesPopulator): AuthenticationManager {
    val factory = LdapBindAuthenticationManagerFactory(contextSource)
    factory.setUserDnPatterns("uid={0},ou=people")
    factory.setLdapAuthoritiesPopulator(authorities)
    return factory.createAuthenticationManager()
}

Active Directory

Active Directory 支持其自己的非标准身份验证选项,并且正常的用法模式与标准 LdapAuthenticationProvider 不太匹配。通常,身份验证是通过使用域用户名(以 user@domain 的形式)执行的,而不是使用 LDAP 区分名称。为了简化此操作,Spring Security 提供了一个身份验证提供程序,该提供程序针对典型的 Active Directory 设置进行了自定义。

配置 ActiveDirectoryLdapAuthenticationProvider 非常简单。您只需提供域名和一个提供服务器地址的 LDAP URL。

也可以使用 DNS 查找获取服务器的 IP 地址。目前不支持此功能,但希望在将来的版本中支持。

以下示例配置了 Active Directory

Active Directory 配置示例

  • Java

  • XML

  • Kotlin

@Bean
ActiveDirectoryLdapAuthenticationProvider authenticationProvider() {
	return new ActiveDirectoryLdapAuthenticationProvider("example.com", "ldap://company.example.com/");
}
<bean id="authenticationProvider"
        class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
	<constructor-arg value="example.com" />
	<constructor-arg value="ldap://company.example.com/" />
</bean>
@Bean
fun authenticationProvider(): ActiveDirectoryLdapAuthenticationProvider {
    return ActiveDirectoryLdapAuthenticationProvider("example.com", "ldap://company.example.com/")
}