基于LDAPWeb身份认证机制研究与实现.docVIP

基于LDAPWeb身份认证机制研究与实现 　　摘要:介绍了LDAP协议和目录服务,并详细阐述了基于LDAP的认证机制和认证方式。对基于LDAP的4种认证方式的认证原理和实现过程进行了分析,并对认证过程进行了详细的阐述,最后给出了LDAP在Web应用系统中认证方式的实现。 　　关键词:LDAP 身份认证 SASL 　　 　　Research and Implementation of Web Identity Authentication Based on LDAP 　　LI Hong-Jun 　　(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District,Shanghai,201620,China) 　　Abstract:This article introduces lightweight directory access protocol (LDAP) and directory services. After introducing LDA P’s protocol, the article discusses the identity authentication and the way of identity based on LDAP. Then the paper analyzes the authentication principle and implementation procedure based on LDAP, it discusses the implementation procedure in detail. Finally, the article gives the implementation of authentication method based on LDAP in the web application system. 　　Keywords:ldap; identity authentication;sasl 　　 　　1 概述 　　 随着计算机网络的迅速发展,网络信息规模日趋庞大,以各种形式存储的网络信息又源于不同的操作系统,因此给信息检索和管理带来了极大的不便。目录服务的基本功能便是采取合适的组织策略存储各种数据信息,以便在Internet上能直接或间接地采用最快捷、最方便的方式检索这些信息。在1988年由ITU(international telecommunication union)制定并发布了一个针对标准化分布式目录系统的目录访问协议―X. 500,它以其合理的数据组织结构与高效的数据处理方式适应了这个要求,然而复杂的ISO协议栈限制了X. 500的应 　　用及发展。LDAP(Lightweight Directory Access Protocol――轻量级目录访问协议)的出现解决了这个问题,并已经成为了Internet标准协议[1]。 　　LDAP由密歇根大学开发, 最初是作为一个简化的访问X.500目录服务的协议而提出的;然而经过发展,LDAP不仅成为通过TCP/IP网络访问目录服务的事实标准,而且也成为一个与操作系统独立的目录。LDAP目录中可以存储各种类型的信息,如客户的联系信息、软件包的配置信息、公司职员的电话号码薄及组织结构图、人力资源信息、企业的产品信息等等。通过把LDAP目录作为系统集成中??重要环节,可以大大简化信息查询操作。目录服务不但对于大容量的查询操作响应速度快,并且支持分布式存储结构,容易实现数据的扩展,可以满足大容量存储要求。 　　 　　2 LDAP协议及主要特点 　　 LDAP协议[2]是一种标准的目录服务技术,它基于X.500标准。X.500 是一种OSI的目录服务模型,这个模型包括了所有的命名空间和查询更新协议,X.500 通常也被称作“DAP”,这个协议运行在OSI 网络协议层,功能强大,但由于其丰富的数据模型和操作,使得它非常复杂而显得笨重。LDAP协议采用了客户机/服务器模型,客户机负责构造一个LDAP协议请求,而LDAP服务器则负责分配一个端口来监听客户端请求,通过TCP/IP传递给LDAP服务器,在服务器执行完请求的操作后,把包含结果或者错误信息的相应回传给客户机。LDAP协议请求的PDU是一个LDAPMessage结构,响应的PDU是一个LDAPResult结构[3]。LDAP的PDU都直接映射到TCP的字节流在网上传输。 　　 LDAP标准定义了目录中访问信息的协议,规定了信息的形式和特性、信息存放的索引和组织方式、分步式