Spring Boot中使用LDAP來統一管理用戶信息

不少時候，咱們在構建系統的時候都會本身建立用戶管理體系，這對於開發人員來講並非什麼難事，可是當咱們須要維護多個不一樣系統而且相同用戶跨系統使用的狀況下，若是每一個系統維護本身的用戶信息，那麼此時用戶信息的同步就會變的比較麻煩，對於用戶自身來講也會很是困擾，很容易出現不一樣系統密碼不一致啊等狀況出現。若是此時咱們引入LDAP來集中存儲用戶的基本信息並提供統一的讀寫接口和校驗機制，那麼這樣的問題就比較容易解決了。下面就來講說當咱們使用Spring Boot開發的時候，如何來訪問LDAP服務端。

LDAP簡介

LDAP（輕量級目錄訪問協議，Lightweight Directory Access Protocol)是實現提供被稱爲目錄服務的信息服務。目錄服務是一種特殊的數據庫系統，其專門針對讀取，瀏覽和搜索操做進行了特定的優化。目錄通常用來包含描述性的，基於屬性的信息並支持精細複雜的過濾能力。目錄通常不支持通用數據庫針對大量更新操做操做須要的複雜的事務管理或回捲策略。而目錄服務的更新則通常都很是簡單。這種目錄能夠存儲包括我的信息、web鏈結、jpeg圖像等各類信息。爲了訪問存儲在目錄中的信息，就須要使用運行在TCP/IP 之上的訪問協議—LDAP。

LDAP目錄中的信息是是按照樹型結構組織，具體信息存儲在條目(entry)的數據結構中。條目至關於關係數據庫中表的記錄；條目是具備區別名DN （Distinguished Name）的屬性（Attribute），DN是用來引用條目的，DN至關於關係數據庫表中的關鍵字（Primary Key）。屬性由類型（Type）和一個或多個值（Values）組成，至關於關係數據庫中的字段（Field）由字段名和數據類型組成，只是爲了方便檢索的須要，LDAP中的Type能夠有多個Value，而不是關係數據庫中爲下降數據的冗餘性要求實現的各個域必須是不相關的。LDAP中條目的組織通常按照地理位置和組織關係進行組織，很是的直觀。LDAP把數據存放在文件中，爲提升效率可使用基於索引的文件數據庫，而不是關係數據庫。類型的一個例子就是mail，其值將是一個電子郵件地址。

LDAP的信息是以樹型結構存儲的，在樹根通常定義國家(c=CN)或域名(dc=com)，在其下則每每定義一個或多個組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個組織單元可能包含諸如全部僱員、大樓內的全部打印機等信息。此外，LDAP支持對條目可以和必須支持哪些屬性進行控制，這是有一個特殊的稱爲對象類別(objectClass)的屬性來實現的。該屬性的值決定了該條目必須遵循的一些規則，其規定了該條目可以及至少應該包含哪些屬性。例如：inetorgPerson對象類須要支持sn(surname)和cn(common name)屬性，但也能夠包含可選的如郵件，電話號碼等屬性。

LDAP簡稱對應

• o：organization（組織-公司）
• ou：organization unit（組織單元-部門）
• c：countryName（國家）
• dc：domainComponent（域名）
• sn：suer name（真實名稱）
• cn：common name（經常使用名稱）

以上內容參考自：LDAP快速入門

入門示例

在瞭解了LDAP的基礎概念以後，咱們經過一個簡單例子進一步理解！

• 建立一個基礎的Spring Boot項目（若是您還不會，能夠參考這兩篇文章：入門1或入門2）
• 在pom.xml中引入兩個重要依賴

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-ldap</artifactId>
</dependency>

<dependency>
    <groupId>com.unboundid</groupId>
    <artifactId>unboundid-ldapsdk</artifactId>
    <scope>test</scope>
</dependency>

其中，spring-boot-starter-data-ldap是Spring Boot封裝的對LDAP自動化配置的實現，它是基於spring-data-ldap來對LDAP服務端進行具體操做的。

而unboundid-ldapsdk主要是爲了在這裏使用嵌入式的LDAP服務端來進行測試操做，因此scope設置爲了test，實際應用中，咱們一般會鏈接真實的、獨立部署的LDAP服務器，因此不須要此項依賴。

• 在src/test/resources目錄下建立ldap-server.ldif文件，用來存儲LDAP服務端的基礎數據，以備後面的程序訪問之用。

dn: dc=didispace,dc=com
objectClass: top
objectClass: domain

dn: ou=people,dc=didispace,dc=com
objectclass: top
objectclass: organizationalUnit
ou: people

dn: uid=ben,ou=people,dc=didispace,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: didi
sn: zhaiyongchao
uid: didi
userPassword: {SHA}nFCebWjxfaLbHHG1Qk5UU4trbvQ=

這裏建立了一個基礎用戶，真實姓名爲zhaiyongchao,經常使用名didi，在後面的程序中，咱們會來讀取這些信息。更多內容解釋你們能夠深刻學習LDAP來理解，這裏不作過多的講解。

• 在application.properties中添加嵌入式LDAP的配置

spring.ldap.embedded.ldif=ldap-server.ldif
spring.ldap.embedded.base-dn=dc=didispace,dc=com

• 使用spring-data-ldap的基礎用法，定義LDAP中屬性與咱們Java中定義實體的關係映射以及對應的Repository

@Data
@Entry(base = "ou=people,dc=didispace,dc=com", objectClasses = "inetOrgPerson")
public class Person {

    @Id
    private Name id;
    @DnAttribute(value = "uid", index = 3)
    private String uid;
    @Attribute(name = "cn")
    private String commonName;
    @Attribute(name = "sn")
    private String suerName;
    private String userPassword;

}

public interface PersonRepository extends CrudRepository<Person, Name> {

}

經過上面的定義以後，已經將Person對象與LDAP存儲內容實現了映射，咱們只須要使用PersonRepository就能夠輕鬆的對LDAP內容實現讀寫。

• 建立單元測試用例讀取全部用戶信息：

@RunWith(SpringRunner.class)
@SpringBootTest
public class ApplicationTests {

    @Autowired
    private PersonRepository personRepository;

    @Test
    public void findAll() throws Exception {
        personRepository.findAll().forEach(p -> {
            System.out.println(p);
        });
    }
}

啓動該測試用例以後，咱們能夠看到控制檯中輸出了剛纔維護在ldap-server.ldif中的用戶信息：

2018-01-27 14:25:06.283  WARN 73630 --- [           main] o.s.ldap.odm.core.impl.ObjectMetaData    : The Entry class Person should be declared final
Person(id=uid=ben,ou=people,dc=didispace,dc=com, uid=ben, commonName=didi, suerName=zhaiyongchao, userPassword=123,83,72,65,125,110,70,67,101,98,87,106,120,102,97,76,98,72,72,71,49,81,107,53,85,85,52,116,114,98,118,81,61)

添加用戶

經過上面的入門示例，若是您可以獨立完成，那麼在Spring Boot中操做LDAP的基礎目標已經完成了。

若是您足夠了解Spring Data，其實不難想到，這個在其下的子項目必然也遵照Repsitory的抽象。因此，咱們可使用上面定義的PersonRepository來輕鬆實現操做，好比下面的代碼就能夠方便的往LDAP中添加用戶：

Person person = new Person();
person.setUid("uid:1");
person.setSuerName("AAA");
person.setCommonName("aaa");
person.setUserPassword("123456");
personRepository.save(person);

若是還想實現更多操做，您能夠參考spring-data-ldap的文檔來進行使用。

鏈接LDAP服務端

在本文的例子中都採用了嵌入式的LDAP服務器，事實上這種方式也僅限於咱們本地測試開發使用，真實環境下LDAP服務端必然是獨立部署的。

在Spring Boot的封裝下，咱們只須要配置下面這些參數就能將上面的例子鏈接到遠端的LDAP而不是嵌入式的LDAP。

spring.ldap.urls=ldap://localhost:1235
spring.ldap.base=dc=didispace,dc=com
spring.ldap.username=didispace
spring.ldap.password=123456

本文代碼

能夠經過下面兩個倉庫中查閱chapter3-2-10目錄：

• Github：https://github.com/dyc87112/SpringBoot-Learning/
• Gitee：https://gitee.com/didispace/SpringBoot-Learning

本文首發： http://blog.didispace.com/spr...