Spring SecurityLDAD配置.docVIP

《Spring Security3》第九章（LDAP）第二部分翻译（LDAP高级配置） 博客分类： Spring Security J2EE Spring Security安全翻译Java EE ? LDAP的高级配置 ???????? 一旦我们要了解LDAP基础集成之外的知识，就会发现security XML命名空间方式的配置中，Spring Security LDAP模块还有许多的可用配置。它包括查询用户的个人信息、用户认证的其它方式以及使用LDAP作为UserDetailsService且与DaoAuthenticationProvider结合。 实例JBCP LDAP用户 ???????? 在JBCP Pets LDIF文件中，我们提供了许多的用户。在高级配置练习和自学中，以下的快速查询表可能会对你有所帮助。要注意的是除了userwithphone以外，所有用户的密码均为password。 ???????? 用户名 角色 密码编码 ldapguest ROLE_USER Plaintext anotherldapuser ROLE_USER Plaintext ldapadmin ROLE_USER和ROLE_ADMIN Plaintext shapassworduser ROLE_USER {sha} sshapassworduser ROLE_USER {ssha} userwithphone ROLE_USER Plaintext（在telephoneNumber属性中） ? ???????? 我们将会在后面的章节中介绍为什么密码编码很重要。 密码对比与绑定认证 ???????? 有一些LDAP服务器可能会配置成不允许特定的用户直接绑定到服务器上，这样的话匿名绑定（这是我们到此为止所使用的用户搜索办法）就被禁止了。这可能发生在很大规模的组织中，它想要限制能够从目录中读取信息的用户集合。在这种情况下，标准的Spring Securiry LDAP认证就行不通了，必须使用一种替代策略，通过o.s.s.ldap.authentication.PasswordComparisonAuthenticator实现（BindAuthenticator的兄弟类）。 ?PasswordComparisonAuthenticator绑定到LDAP上并查找匹配用户所提供用户名的DN。它接下来会比较用户提供的密码和匹配的LDAP条目中存储的userPassword属性。如果编码后的密码相匹配，用户认证成功，接下来的流程与BindAuthenticator相同。 配置基本的密码对比 配置密码对比认证来替换绑定认证很简单，只需在ldap-authentication-provider中添加一个子元素即可，如下： ? Xml代码 ? ldap-authentication-provider?server-ref=ldapLocal?? ??user-search-filter=(uid={0})?group-search-base=ou=Groups?? ??password-compare/?? /ldap-authentication-provider??? ldap-authentication-provider server-ref=ldapLocal user-search-filter=(uid={0}) group-search-base=ou=Groups password-compare/ /ldap-authentication-provider? 默认的PasswordComparisonAuthenticator使用LDAP密码编码算法SHA（回忆一下我们在第四章：凭证安全存储中讨论过的SHA-1密码加密算法）。在重启服务之后，你可以使用用户名shapassworduser和密码password尝试登录。 LDAP密码编码和存储 ???????? LDAP支持多种的密码加密算法，从简单文本到单向加密算法（类似于我们在第四章中了解到的基于数据库认证）。最常用的LDAP密码存储格式是SHA（SHA-1单向加密）和SSHA（使用salt值的单向加密算法）。很多的LDAP实现支持RFC 2307, An Approach for Using LDAP as a Network Information Service (/html/rfc2307)定义的其它的密码格式。 ???????? RFC 2307的设计者在密码存储方面做了一项很高明的事情。从目录中的得到的密码当然是按照一定的算法（SHA等）进行加密的，但是它以使用的加密算法作为前缀。这使得LDAP服务器能够很容易支持多种密码编