[Spring官方教程] - 使用LDAP认证用户

本指南将引导你完成创建一个应用程序并使用Spring SecurityLDAP模块保护其安全的过程。

你将建立什么

你将建立一个简单的网络应用程序,该程序由Spring Security的嵌入式基于Java的LDAP服务器保护。你将用一个包含一组用户的数据文件来加载LDAP服务器。

你需要什么

从Spring Initializr开始

因为本指南的重点是保护不安全的网络应用程序,所以你将首先建立一个不安全的网络应用程序,在指南的后面,为Spring Security和LDAP功能添加更多的依赖。

如果你使用Maven,请访问 Spring Initializr ,生成一个带有所需依赖关系(Spring Web)的新项目。

下面的列表显示了选择Maven时创建的pom.xml文件。

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.5.2</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.example</groupId>
	<artifactId>authenticating-ldap-initial</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>authenticating-ldap-initial</name>
	<description>Demo project for Spring Boot</description>
	<properties>
		<java.version>1.8</java.version>
	</properties>
	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>

如果你使用Gradle,请访问 Spring Initializr ,生成一个具有所需依赖关系(Spring Web)的新项目。

下面的列表显示了当你选择Gradle时创建的build.gradle文件。

plugins {
	id 'org.springframework.boot' version '2.5.2'
	id 'io.spring.dependency-management' version '1.0.11.RELEASE'
	id 'java'
}

group = 'com.example'
version = '0.0.1-SNAPSHOT'
sourceCompatibility = '1.8'

repositories {
	mavenCentral()
}

dependencies {
	implementation 'org.springframework.boot:spring-boot-starter-web'
	testImplementation 'org.springframework.boot:spring-boot-starter-test'
}

test {
	useJUnitPlatform()
}

手动初始化 (可选)

如果你想手动初始化项目,而不是使用前面显示的链接,请按照下面的步骤进行。

  1. 导航到https://start.spring.io。这项服务拉入你的应用程序所需的所有依赖性,并为你做大部分的设置。
  2. 选择Gradle或Maven以及你想使用的语言。本指南假设你选择了Java。
  3. 点击Dependencies 然后选择 Spring Web .
  4. 点击 Generate .
  5. 下载产生的ZIP文件,这是一个用你的选择配置的Web应用程序的档案。

如果你的IDE有Spring Initializr集成,你可以从你的IDE完成这个过程。

创建一个简单的 Web Controller

在Spring中,REST端点是Spring MVC控制器。下面这个Spring MVC控制器(来自src/main/java/com/example/authenticatingldap/HomeController.java)通过返回一个简单的消息来处理GET /请求。

package com.example.authenticatingldap;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HomeController {

  @GetMapping("/")
  public String index() {
    return "Welcome to the home page!";
  }

}

整个类用@RestController标记,这样Spring MVC就可以自动检测控制器(通过使用其内置的扫描功能),并自动配置必要的Web路由。

@RestController还告诉Spring MVC直接将文本写入HTTP响应体中,因为没有视图。相反,当你访问该页面时,你会在浏览器中得到一个简单的信息(因为本指南的重点是用LDAP保护该页面)。

建立不安全的网络应用程序

在你确保网络应用的安全之前,你应该验证它是否能工作。要做到这一点,你需要定义一些关键豆,你可以通过创建一个Application实现。下面的列表(来自src/main/java/com/example/authenticatingldap/AuthenticatingLdapApplication.java)显示了该类。

package com.example.authenticatingldap;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class AuthenticatingLdapApplication {

  public static void main(String[] args) {
    SpringApplication.run(AuthenticatingLdapApplication.class, args);
  }

}

@SpringBootApplication是一个方便的注解,添加了以下所有内容。

  • @Configuration : 将该类标记为应用程序上下文的Bean定义的来源。
  • @EnableAutoConfiguration : 告诉Spring Boot开始根据classpath设置、其他Bean和各种属性设置来添加Bean。例如,如果spring-webmvc在classpath上,这个注解将应用程序标记为Web应用程序,并激活关键行为,如设置DispatcherServlet
  • @ComponentScan : 告诉Spring在com/example包中寻找其他组件、配置和服务,让它找到控制器。

main()方法使用Spring Boot的SpringApplication.run()方法来启动一个应用程序。你是否注意到,没有一行XML?也没有web.xml文件。这个网络应用是100%的纯Java,你不需要处理配置任何管道或基础设施。

构建一个可执行的JAR

你可以用Gradle或Maven从命令行中运行该应用程序。你也可以构建一个包含所有必要的依赖关系、类和资源的可执行JAR文件并运行它。构建一个可执行的JAR文件可以让你在整个开发生命周期中,在不同的环境中,轻松地将服务作为一个应用来运输、版本和部署,等等。

如果你使用Gradle,你可以通过使用./gradlew bootRun来运行该应用程序。或者,你可以通过使用./gradlew build来构建JAR文件,然后运行JAR文件,如下所示。

java -jar build/libs/gs-authenticating-ldap-0.1.0.jar

如果您使用Maven,您可以通过使用./mvnw spring-boot:run来运行该应用程序。或者,你可以用./mvnw clean package构建JAR文件,然后运行JAR文件,如下所示。

java -jar target/gs-authenticating-ldap-0.1.0.jar

这里描述的步骤创建一个可运行的JAR。你也可以建立一个经典的WAR文件

如果你打开浏览器,访问http://localhost:8080,你应该看到以下纯文本。

Welcome to the home page!

设置Spring Security

要配置Spring Security,你首先需要在你的构建中添加一些额外的依赖项。

对于基于Gradle的构建,在build.gradle文件中添加以下依赖项。

implementation("org.springframework.boot:spring-boot-starter-security")
implementation("org.springframework.ldap:spring-ldap-core")
implementation("org.springframework.security:spring-security-ldap")
implementation("com.unboundid:unboundid-ldapsdk")

由于Gradle的一个artifact 解析问题,spring-tx必须被拉入。否则,Gradle就会获取一个不工作的旧版本。

对于基于Maven的构建,在pom.xml文件中添加以下依赖项。

<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
		<groupId>org.springframework.ldap</groupId>
		<artifactId>spring-ldap-core</artifactId>
</dependency>
<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-ldap</artifactId>
</dependency>
<dependency>
		<groupId>com.unboundid</groupId>
		<artifactId>unboundid-ldapsdk</artifactId>
</dependency>

这些依赖项增加了Spring Security和UnboundId,一个开源的LDAP服务器。有了这些依赖,你就可以使用纯Java来配置你的安全策略,正如下面的例子(来自src/main/java/com/example/authenticatingldap/WebSecurityConfig.java)所示。

package com.example.authenticatingldap;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .authorizeRequests()
        .anyRequest().fullyAuthenticated()
        .and()
      .formLogin();
  }

  @Override
  public void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
      .ldapAuthentication()
        .userDnPatterns("uid={0},ou=people")
        .groupSearchBase("ou=groups")
        .contextSource()
          .url("ldap://localhost:8389/dc=springframework,dc=org")
          .and()
        .passwordCompare()
          .passwordEncoder(new BCryptPasswordEncoder())
          .passwordAttribute("userPassword");
  }

}

为了定制安全设置,你可以使用WebSecurityConfigurer。在上面的例子中,这是通过覆盖WebSecurityConfigurerAdapter的方法来实现的,它实现了WebSecurityConfigurer接口。

你还需要一个LDAP服务器。Spring Boot为用纯Java编写的嵌入式服务器提供了自动配置,本指南使用的就是该服务器。ldapAuthentication()方法配置了一些东西,以便在登录表单中的用户名被插入{0},从而在LDAP服务器中搜索uid={0},ou=people,dc=springframework,dc=org。另外,passwordCompare()方法配置了编码器和密码的属性名称。

设置用户数据

LDAP服务器可以使用LDIF(LDAP数据交换格式)文件来交换用户数据。spring.ldap.embedded.ldif属性在application.properties中让Spring Boot拉入一个LDIF数据文件。这使得预加载演示数据变得很容易。下面的列表(来自src/main/resources/test-server.ldif)显示了一个能与这个例子一起使用的LDIF文件。

dn: dc=springframework,dc=org
objectclass: top
objectclass: domain
objectclass: extensibleObject
dc: springframework

dn: ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: groups

dn: ou=subgroups,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: subgroups

dn: ou=people,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: people

dn: ou=space cadets,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: space cadets

dn: ou=\"quoted people\",dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: "quoted people"

dn: ou=otherpeople,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: otherpeople

dn: uid=ben,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Ben Alex
sn: Alex
uid: ben
userPassword: $2a$10$c6bSeWPhg06xB1lvmaWNNe4NROmZiSpYhlocU/98HNr2MhIOiSt36

dn: uid=bob,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Bob Hamilton
sn: Hamilton
uid: bob
userPassword: bobspassword

dn: uid=joe,ou=otherpeople,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Joe Smeth
sn: Smeth
uid: joe
userPassword: joespassword

dn: cn=mouse\, jerry,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Mouse, Jerry
sn: Mouse
uid: jerry
userPassword: jerryspassword

dn: cn=slash/guy,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: slash/guy
sn: Slash
uid: slashguy
userPassword: slashguyspassword

dn: cn=quote\"guy,ou=\"quoted people\",dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: quote\"guy
sn: Quote
uid: quoteguy
userPassword: quoteguyspassword

dn: uid=space cadet,ou=space cadets,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Space Cadet
sn: Cadet
uid: space cadet
userPassword: spacecadetspassword



dn: cn=developers,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: developers
ou: developer
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org
uniqueMember: uid=bob,ou=people,dc=springframework,dc=org

dn: cn=managers,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: managers
ou: manager
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org
uniqueMember: cn=mouse\, jerry,ou=people,dc=springframework,dc=org

dn: cn=submanagers,ou=subgroups,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: submanagers
ou: submanager
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org

使用LDIF文件不是生产系统的标准配置。然而,它对于测试目的或指南是有用的。

如果你访问http://localhost:8080的网站,你应该被重定向到由Spring Security提供的登录页面。

输入用户名ben和密码benspassword。你应该在你的浏览器中看到以下信息。

Welcome to the home page!

总结

恭喜你!你已经编写了一个Web应用程序,并使用Spring Security对其进行了保护。你已经编写了一个Web应用程序,并使用Spring Security来保护它。在这个案例中,你使用了一个基于LDAP的用户存储

另见

下面的指南可能也有帮助。

想写一份新的指南或对现有的指南做出贡献吗?请查看我们的贡献指南


原文:Getting Started | Authenticating a User with LDAP