本指南将引导你完成创建一个应用程序并使用Spring SecurityLDAP模块保护其安全的过程。
你将建立什么
你将建立一个简单的网络应用程序,该程序由Spring Security的嵌入式基于Java的LDAP服务器保护。你将用一个包含一组用户的数据文件来加载LDAP服务器。
你需要什么
- 约15分钟
- 一个最喜欢的文本编辑器或IDE
- JDK 1.8 或者更高
- Gradle 4+ or Maven 3.2+
- 你也可以直接将代码导入你的IDE
从Spring Initializr开始
因为本指南的重点是保护不安全的网络应用程序,所以你将首先建立一个不安全的网络应用程序,在指南的后面,为Spring Security和LDAP功能添加更多的依赖。
如果你使用Maven,请访问 Spring Initializr ,生成一个带有所需依赖关系(Spring Web)的新项目。
下面的列表显示了选择Maven时创建的pom.xml文件。
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.5.2</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>authenticating-ldap-initial</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>authenticating-ldap-initial</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
如果你使用Gradle,请访问 Spring Initializr ,生成一个具有所需依赖关系(Spring Web)的新项目。
下面的列表显示了当你选择Gradle时创建的build.gradle文件。
plugins {
id 'org.springframework.boot' version '2.5.2'
id 'io.spring.dependency-management' version '1.0.11.RELEASE'
id 'java'
}
group = 'com.example'
version = '0.0.1-SNAPSHOT'
sourceCompatibility = '1.8'
repositories {
mavenCentral()
}
dependencies {
implementation 'org.springframework.boot:spring-boot-starter-web'
testImplementation 'org.springframework.boot:spring-boot-starter-test'
}
test {
useJUnitPlatform()
}
手动初始化 (可选)
如果你想手动初始化项目,而不是使用前面显示的链接,请按照下面的步骤进行。
- 导航到https://start.spring.io。这项服务拉入你的应用程序所需的所有依赖性,并为你做大部分的设置。
- 选择Gradle或Maven以及你想使用的语言。本指南假设你选择了Java。
- 点击Dependencies 然后选择 Spring Web .
- 点击 Generate .
- 下载产生的ZIP文件,这是一个用你的选择配置的Web应用程序的档案。
如果你的IDE有Spring Initializr集成,你可以从你的IDE完成这个过程。
创建一个简单的 Web Controller
在Spring中,REST端点是Spring MVC控制器。下面这个Spring MVC控制器(来自src/main/java/com/example/authenticatingldap/HomeController.java)通过返回一个简单的消息来处理GET /请求。
package com.example.authenticatingldap;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class HomeController {
@GetMapping("/")
public String index() {
return "Welcome to the home page!";
}
}
整个类用@RestController标记,这样Spring MVC就可以自动检测控制器(通过使用其内置的扫描功能),并自动配置必要的Web路由。
@RestController还告诉Spring MVC直接将文本写入HTTP响应体中,因为没有视图。相反,当你访问该页面时,你会在浏览器中得到一个简单的信息(因为本指南的重点是用LDAP保护该页面)。
建立不安全的网络应用程序
在你确保网络应用的安全之前,你应该验证它是否能工作。要做到这一点,你需要定义一些关键豆,你可以通过创建一个Application实现。下面的列表(来自src/main/java/com/example/authenticatingldap/AuthenticatingLdapApplication.java)显示了该类。
package com.example.authenticatingldap;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class AuthenticatingLdapApplication {
public static void main(String[] args) {
SpringApplication.run(AuthenticatingLdapApplication.class, args);
}
}
@SpringBootApplication是一个方便的注解,添加了以下所有内容。
@Configuration: 将该类标记为应用程序上下文的Bean定义的来源。@EnableAutoConfiguration: 告诉Spring Boot开始根据classpath设置、其他Bean和各种属性设置来添加Bean。例如,如果spring-webmvc在classpath上,这个注解将应用程序标记为Web应用程序,并激活关键行为,如设置DispatcherServlet。@ComponentScan: 告诉Spring在com/example包中寻找其他组件、配置和服务,让它找到控制器。
main()方法使用Spring Boot的SpringApplication.run()方法来启动一个应用程序。你是否注意到,没有一行XML?也没有web.xml文件。这个网络应用是100%的纯Java,你不需要处理配置任何管道或基础设施。
构建一个可执行的JAR
你可以用Gradle或Maven从命令行中运行该应用程序。你也可以构建一个包含所有必要的依赖关系、类和资源的可执行JAR文件并运行它。构建一个可执行的JAR文件可以让你在整个开发生命周期中,在不同的环境中,轻松地将服务作为一个应用来运输、版本和部署,等等。
如果你使用Gradle,你可以通过使用./gradlew bootRun来运行该应用程序。或者,你可以通过使用./gradlew build来构建JAR文件,然后运行JAR文件,如下所示。
java -jar build/libs/gs-authenticating-ldap-0.1.0.jar
如果您使用Maven,您可以通过使用./mvnw spring-boot:run来运行该应用程序。或者,你可以用./mvnw clean package构建JAR文件,然后运行JAR文件,如下所示。
java -jar target/gs-authenticating-ldap-0.1.0.jar
这里描述的步骤创建一个可运行的JAR。你也可以建立一个经典的WAR文件。
如果你打开浏览器,访问http://localhost:8080,你应该看到以下纯文本。
Welcome to the home page!
设置Spring Security
要配置Spring Security,你首先需要在你的构建中添加一些额外的依赖项。
对于基于Gradle的构建,在build.gradle文件中添加以下依赖项。
implementation("org.springframework.boot:spring-boot-starter-security")
implementation("org.springframework.ldap:spring-ldap-core")
implementation("org.springframework.security:spring-security-ldap")
implementation("com.unboundid:unboundid-ldapsdk")
由于Gradle的一个artifact 解析问题,spring-tx必须被拉入。否则,Gradle就会获取一个不工作的旧版本。
对于基于Maven的构建,在pom.xml文件中添加以下依赖项。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.ldap</groupId>
<artifactId>spring-ldap-core</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-ldap</artifactId>
</dependency>
<dependency>
<groupId>com.unboundid</groupId>
<artifactId>unboundid-ldapsdk</artifactId>
</dependency>
这些依赖项增加了Spring Security和UnboundId,一个开源的LDAP服务器。有了这些依赖,你就可以使用纯Java来配置你的安全策略,正如下面的例子(来自src/main/java/com/example/authenticatingldap/WebSecurityConfig.java)所示。
package com.example.authenticatingldap;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().fullyAuthenticated()
.and()
.formLogin();
}
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.ldapAuthentication()
.userDnPatterns("uid={0},ou=people")
.groupSearchBase("ou=groups")
.contextSource()
.url("ldap://localhost:8389/dc=springframework,dc=org")
.and()
.passwordCompare()
.passwordEncoder(new BCryptPasswordEncoder())
.passwordAttribute("userPassword");
}
}
为了定制安全设置,你可以使用WebSecurityConfigurer。在上面的例子中,这是通过覆盖WebSecurityConfigurerAdapter的方法来实现的,它实现了WebSecurityConfigurer接口。
你还需要一个LDAP服务器。Spring Boot为用纯Java编写的嵌入式服务器提供了自动配置,本指南使用的就是该服务器。ldapAuthentication()方法配置了一些东西,以便在登录表单中的用户名被插入{0},从而在LDAP服务器中搜索uid={0},ou=people,dc=springframework,dc=org。另外,passwordCompare()方法配置了编码器和密码的属性名称。
设置用户数据
LDAP服务器可以使用LDIF(LDAP数据交换格式)文件来交换用户数据。spring.ldap.embedded.ldif属性在application.properties中让Spring Boot拉入一个LDIF数据文件。这使得预加载演示数据变得很容易。下面的列表(来自src/main/resources/test-server.ldif)显示了一个能与这个例子一起使用的LDIF文件。
dn: dc=springframework,dc=org
objectclass: top
objectclass: domain
objectclass: extensibleObject
dc: springframework
dn: ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: groups
dn: ou=subgroups,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: subgroups
dn: ou=people,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: people
dn: ou=space cadets,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: space cadets
dn: ou=\"quoted people\",dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: "quoted people"
dn: ou=otherpeople,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: otherpeople
dn: uid=ben,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Ben Alex
sn: Alex
uid: ben
userPassword: $2a$10$c6bSeWPhg06xB1lvmaWNNe4NROmZiSpYhlocU/98HNr2MhIOiSt36
dn: uid=bob,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Bob Hamilton
sn: Hamilton
uid: bob
userPassword: bobspassword
dn: uid=joe,ou=otherpeople,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Joe Smeth
sn: Smeth
uid: joe
userPassword: joespassword
dn: cn=mouse\, jerry,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Mouse, Jerry
sn: Mouse
uid: jerry
userPassword: jerryspassword
dn: cn=slash/guy,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: slash/guy
sn: Slash
uid: slashguy
userPassword: slashguyspassword
dn: cn=quote\"guy,ou=\"quoted people\",dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: quote\"guy
sn: Quote
uid: quoteguy
userPassword: quoteguyspassword
dn: uid=space cadet,ou=space cadets,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Space Cadet
sn: Cadet
uid: space cadet
userPassword: spacecadetspassword
dn: cn=developers,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: developers
ou: developer
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org
uniqueMember: uid=bob,ou=people,dc=springframework,dc=org
dn: cn=managers,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: managers
ou: manager
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org
uniqueMember: cn=mouse\, jerry,ou=people,dc=springframework,dc=org
dn: cn=submanagers,ou=subgroups,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfUniqueNames
cn: submanagers
ou: submanager
uniqueMember: uid=ben,ou=people,dc=springframework,dc=org
使用LDIF文件不是生产系统的标准配置。然而,它对于测试目的或指南是有用的。
如果你访问http://localhost:8080的网站,你应该被重定向到由Spring Security提供的登录页面。
输入用户名ben和密码benspassword。你应该在你的浏览器中看到以下信息。
Welcome to the home page!
总结
恭喜你!你已经编写了一个Web应用程序,并使用Spring Security对其进行了保护。你已经编写了一个Web应用程序,并使用Spring Security来保护它。在这个案例中,你使用了一个基于LDAP的用户存储。
另见
下面的指南可能也有帮助。
想写一份新的指南或对现有的指南做出贡献吗?请查看我们的贡献指南。