Spring Boot中使用LDAP來統一管理使用者資訊

很多時候，我們在建構系統的時候都會自己建立使用者管理體系，這對于開發人員來說并不是什麼難事，但是當我們需要維護多個不同系統并且相同使用者跨系統使用的情況下，如果每個系統維護自己的使用者資訊，那麼此時使用者資訊的同步就會變的比較麻煩，對于使用者自身來說也會非常困擾，很容易出現不同系統密碼不一緻啊等情況出現。如果此時我們引入LDAP來集中存儲使用者的基本資訊并提供統一的讀寫接口和校驗機制，那麼這樣的問題就比較容易解決了。下面就來說說當我們使用Spring Boot開發的時候，如何來通路LDAP服務端。

https://blog.didispace.com/spring-boot-ldap-user/#LDAP%E7%AE%80%E4%BB%8B LDAP簡介

LDAP（輕量級目錄通路協定，Lightweight Directory Access Protocol)是實作提供被稱為目錄服務的資訊服務。目錄服務是一種特殊的資料庫系統，其專門針對讀取，浏覽和搜尋操作進行了特定的優化。目錄一般用來包含描述性的，基于屬性的資訊并支援精細複雜的過濾能力。目錄一般不支援通用資料庫針對大量更新操作操作需要的複雜的事務管理或回卷政策。而目錄服務的更新則一般都非常簡單。這種目錄可以存儲包括個人資訊、web鍊結、jpeg圖像等各種資訊。為了通路存儲在目錄中的資訊，就需要使用運作在TCP/IP 之上的通路協定—LDAP。

LDAP目錄中的資訊是是按照樹型結構組織，具體資訊存儲在條目(entry)的資料結構中。條目相當于關系資料庫中表的記錄；條目是具有差別名DN （Distinguished Name）的屬性（Attribute），DN是用來引用條目的，DN相當于關系資料庫表中的關鍵字（Primary Key）。屬性由類型（Type）和一個或多個值（Values）組成，相當于關系資料庫中的字段（Field）由字段名和資料類型組成，隻是為了友善檢索的需要，LDAP中的Type可以有多個Value，而不是關系資料庫中為降低資料的備援性要求實作的各個域必須是不相關的。LDAP中條目的組織一般按照地理位置群組織關系進行組織，非常的直覺。LDAP把資料存放在檔案中，為提高效率可以使用基于索引的檔案資料庫，而不是關系資料庫。類型的一個例子就是mail，其值将是一個電子郵件位址。

LDAP的資訊是以樹型結構存儲的，在樹根一般定義國家(c=CN)或域名(dc=com)，在其下則往往定義一個或多個組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個組織單元可能包含諸如所有雇員、大樓内的所有列印機等資訊。此外，LDAP支援對條目能夠和必須支援哪些屬性進行控制，這是有一個特殊的稱為對象類别(objectClass)的屬性來實作的。該屬性的值決定了該條目必須遵循的一些規則，其規定了該條目能夠及至少應該包含哪些屬性。例如：inetorgPerson對象類需要支援sn(surname)和cn(common name)屬性，但也可以包含可選的如郵件，電話号碼等屬性。

LDAP簡稱對應

• o：organization（組織-公司）
• ou：organization unit（組織單元-部門）
• c：countryName（國家）
• dc：domainComponent（域名）
• sn：surname（姓氏）
• cn：common name（常用名稱）

以上内容參考自​：​

LDAP快速入門

https://blog.didispace.com/spring-boot-ldap-user/#%E5%85%A5%E9%97%A8%E7%A4%BA%E4%BE%8B 入門示例

在了解了LDAP的基礎概念之後，我們通過一個簡單例子進一步了解！

• 建立一個基礎的Spring Boot項目（如果您還不會，可以參考這兩篇文章： 入門1 或 入門2 ）
• 在

  pom.xml

  中引入兩個重要依賴

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-ldap</artifactId>
</dependency>

<dependency>
    <groupId>com.unboundid</groupId>
    <artifactId>unboundid-ldapsdk</artifactId>
    <scope>test</scope>
</dependency>      

其中，

spring-boot-starter-data-ldap

是Spring Boot封裝的對LDAP自動化配置的實作，它是基于spring-data-ldap來對LDAP服務端進行具體操作的。

而

unboundid-ldapsdk

主要是為了在這裡使用嵌入式的LDAP服務端來進行測試操作，是以

scope

設定為了test，實際應用中，我們通常會連接配接真實的、獨立部署的LDAP伺服器，是以不需要此項依賴。

• src/test/resources

  目錄下建立

  ldap-server.ldif

  檔案，用來存儲LDAP服務端的基礎資料，以備後面的程式通路之用。

dn: dc=didispace,dc=com
objectClass: top
objectClass: domain

dn: ou=people,dc=didispace,dc=com
objectclass: top
objectclass: organizationalUnit
ou: people

dn: uid=ben,ou=people,dc=didispace,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: didi
sn: zhaiyongchao
uid: didi
userPassword: {SHA}nFCebWjxfaLbHHG1Qk5UU4trbvQ=      

這裡建立了一個基礎使用者，真實姓名為

zhaiyongchao

,常用名

didi

，在後面的程式中，我們會來讀取這些資訊。更多内容解釋大家可以深入學習LDAP來了解，這裡不做過多的講解。

• application.properties

  中添加嵌入式LDAP的配置

spring.ldap.embedded.ldif=ldap-server.ldif
spring.ldap.embedded.base-dn=dc=didispace,dc=com      

• 使用spring-data-ldap的基礎用法，定義LDAP中屬性與我們Java中定義實體的關系映射以及對應的Repository

@Data
@Entry(base = "ou=people,dc=didispace,dc=com", objectClasses = "inetOrgPerson")
public class Person {

    @Id
    private Name id;
    @DnAttribute(value = "uid", index = 3)
    private String uid;
    @Attribute(name = "cn")
    private String commonName;
    @Attribute(name = "sn")
    private String suerName;
    private String userPassword;

}

public interface PersonRepository extends CrudRepository<Person, Name> {

}      

通過上面的定義之後，已經将Person對象與LDAP存儲内容實作了映射，我們隻需要使用

PersonRepository

就可以輕松的對LDAP内容實作讀寫。

• 建立單元測試用例讀取所有使用者資訊：

@RunWith(SpringRunner.class)
@SpringBootTest
public class ApplicationTests {

    @Autowired
    private PersonRepository personRepository;

    @Test
    public void findAll() throws Exception {
        personRepository.findAll().forEach(p -> {
            System.out.println(p);
        });
    }
}      

啟動該測試用例之後，我們可以看到控制台中輸出了剛才維護在

ldap-server.ldif

中的使用者資訊：

2018-01-27 14:25:06.283  WARN 73630 --- [           main] o.s.ldap.odm.core.impl.ObjectMetaData    : The Entry class Person should be declared final
Person(id=uid=ben,ou=people,dc=didispace,dc=com, uid=ben, commonName=didi, suerName=zhaiyongchao, userPassword=123,83,72,65,125,110,70,67,101,98,87,106,120,102,97,76,98,72,72,71,49,81,107,53,85,85,52,116,114,98,118,81,61)      

添加使用者

通過上面的入門示例，如果您能夠獨立完成，那麼在Spring Boot中操作LDAP的基礎目标已經完成了。

如果您足夠了解Spring Data，其實不難想到，這個在其下的子項目必然也遵守Repsitory的抽象。是以，我們可以使用上面定義的

PersonRepository

來輕松實作操作，比如下面的代碼就可以友善的往LDAP中添加使用者：

Person person = new Person();
person.setUid("uid:1");
person.setSuerName("AAA");
person.setCommonName("aaa");
person.setUserPassword("123456");
personRepository.save(person);      

如果還想實作更多操作，您可以參考spring-data-ldap的文檔來進行使用。

https://blog.didispace.com/spring-boot-ldap-user/#%E8%BF%9E%E6%8E%A5LDAP%E6%9C%8D%E5%8A%A1%E7%AB%AF 連接配接LDAP服務端

在本文的例子中都采用了嵌入式的LDAP伺服器，事實上這種方式也僅限于我們本地測試開發使用，真實環境下LDAP服務端必然是獨立部署的。

在Spring Boot的封裝下，我們隻需要配置下面這些參數就能将上面的例子連接配接到遠端的LDAP而不是嵌入式的LDAP。

spring.ldap.urls=ldap://localhost:1235
spring.ldap.base=dc=didispace,dc=com
spring.ldap.username=didispace
spring.ldap.password=123456      

本文代碼

可以通過下面兩個倉庫中查閱

chapter3-2-10

目錄：

• Github： https://github.com/dyc87112/SpringBoot-Learning
• Gitee： https://gitee.com/didispace/SpringBoot-Learning

以下專題教程也許您會有興趣

• Spring Boot基礎教程
• Spring Cloud基礎教程