很多時候,我們在做公司系統或產品時,都需要自己創建用戶管理體系,這對於開發人員來說並不是什么難事,但是當我們需要維護多個不同系統並且相同用戶跨系統使用的情況下,如果每個系統維護自己的用戶信息,那么此時用戶信息的同步就會變的比較麻煩,對於用戶自身來說也會非常困擾,很容易出現不同系統密碼不一致啊等情況出現。
如果此時我們引入LDAP來集中存儲用戶的基本信息並提供統一的讀寫接口和校驗機制,那么這樣的問題就比較容易解決了。尤其在一些內部管理系統的開發和搭建時,往往我們的內部系統一開始並不全是自己開發的,還有很多第三方產品支持,比如:OA系統、財務系統等,如果自己開發一套用戶管理系統,那么這些系統對接還得二次開發,成本很大。由於LDAP並不是什么新技術,大部分成熟軟件都支持用LDAP來管理用戶,所以時至今日,LDAP的應用依然可以經常看到。
下面我們就具體來看看,當使用Spring Boot開發的時候,如何來訪問LDAP服務端。
LDAP簡介
LDAP(輕量級目錄訪問協議,Lightweight Directory Access Protocol)是實現提供被稱為目錄服務的信息服務。目錄服務是一種特殊的數據庫系統,其專門針對讀取,瀏覽和搜索操作進行了特定的優化。目錄一般用來包含描述性的,基於屬性的信息並支持精細復雜的過濾能力。目錄一般不支持通用數據庫針對大量更新操作操作需要的復雜的事務管理或回卷策略。而目錄服務的更新則一般都非常簡單。這種目錄可以存儲包括個人信息、web鏈結、jpeg圖像等各種信息。為了訪問存儲在目錄中的信息,就需要使用運行在TCP/IP 之上的訪問協議—LDAP。
LDAP目錄中的信息是是按照樹型結構組織,具體信息存儲在條目(entry)的數據結構中。條目相當於關系數據庫中表的記錄;條目是具有區別名DN (Distinguished Name)的屬性(Attribute),DN是用來引用條目的,DN相當於關系數據庫表中的關鍵字(Primary Key)。屬性由類型(Type)和一個或多個值(Values)組成,相當於關系數據庫中的字段(Field)由字段名和數據類型組成,只是為了方便檢索的需要,LDAP中的Type可以有多個Value,而不是關系數據庫中為降低數據的冗余性要求實現的各個域必須是不相關的。LDAP中條目的組織一般按照地理位置和組織關系進行組織,非常的直觀。LDAP把數據存放在文件中,為提高效率可以使用基於索引的文件數據庫,而不是關系數據庫。類型的一個例子就是mail,其值將是一個電子郵件地址。
LDAP的信息是以樹型結構存儲的,在樹根一般定義國家(c=CN)或域名(dc=com),在其下則往往定義一個或多個組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個組織單元可能包含諸如所有雇員、大樓內的所有打印機等信息。此外,LDAP支持對條目能夠和必須支持哪些屬性進行控制,這是有一個特殊的稱為對象類別(objectClass)的屬性來實現的。該屬性的值決定了該條目必須遵循的一些規則,其規定了該條目能夠及至少應該包含哪些屬性。例如:inetorgPerson對象類需要支持sn(surname)和cn(common name)屬性,但也可以包含可選的如郵件,電話號碼等屬性。
LDAP簡稱對應
- o:organization(組織-公司)
- ou:organization unit(組織單元-部門)
- c:countryName(國家)
- dc:domainComponent(域名)
- sn:surname(姓氏)
- cn:common name(常用名稱)
以上內容參考自:LDAP快速入門
入門示例
在了解了LDAP的基礎概念之后,我們通過一個簡單例子進一步理解!
-
創建一個基礎的Spring Boot項目(如果您還不會,可以參考這篇文章:快速入門1)
-
在
pom.xml中引入兩個重要依賴
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-ldap</artifactId>
</dependency>
<dependency>
<groupId>com.unboundid</groupId>
<artifactId>unboundid-ldapsdk</artifactId>
<scope>test</scope>
</dependency>
其中,spring-boot-starter-data-ldap是Spring Boot封裝的對LDAP自動化配置的實現,它是基於spring-data-ldap來對LDAP服務端進行具體操作的。
而unboundid-ldapsdk主要是為了在這里使用嵌入式的LDAP服務端來進行測試操作,所以scope設置為了test,實際應用中,我們通常會連接真實的、獨立部署的LDAP服務器,所以不需要此項依賴。
- 在
src/test/resources目錄下創建ldap-server.ldif文件,用來存儲LDAP服務端的基礎數據,以備后面的程序訪問之用。
dn: dc=didispace,dc=com
objectClass: top
objectClass: domain
objectclass: extensibleObject
dc: didispace
dn: ou=people,dc=didispace,dc=com
objectclass: top
objectclass: organizationalUnit
ou: people
dn: uid=ben,ou=people,dc=didispace,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: didi
sn: zhaiyongchao
uid: didi
userPassword: {SHA}nFCebWjxfaLbHHG1Qk5UU4trbvQ=
這里創建了一個基礎用戶,真實姓名為zhaiyongchao,常用名didi,在后面的程序中,我們會來讀取這些信息。更多內容解釋大家可以深入學習LDAP來理解,這里不做過多的講解。
- 在
application.properties中添加嵌入式LDAP的配置
spring.ldap.embedded.ldif=classpath:ldap-server.ldif
spring.ldap.embedded.base-dn=dc=didispace,dc=com
- 使用spring-data-ldap的基礎用法,定義LDAP中屬性與我們Java中定義實體的關系映射以及對應的Repository
@Data
@Entry(base = "ou=people,dc=didispace,dc=com", objectClasses = "inetOrgPerson")
public class Person {
@Id
private Name id;
@DnAttribute(value = "uid", index = 3)
private String uid;
@Attribute(name = "cn")
private String commonName;
@Attribute(name = "sn")
private String userName;
private String userPassword;
}
public interface PersonRepository extends CrudRepository<Person, Name> {
}
通過上面的定義之后,已經將Person對象與LDAP存儲內容實現了映射,我們只需要使用PersonRepository就可以輕松的對LDAP內容實現讀寫。
- 創建單元測試用例讀取所有用戶信息:
@Slf4j
@SpringBootTest
public class ApplicationTests {
@Autowired
private PersonRepository personRepository;
@Test
public void findAll() {
personRepository.findAll().forEach(p -> {
System.out.println(p);
});
}
}
啟動該測試用例之后,我們可以看到控制台中輸出了剛才維護在ldap-server.ldif中的用戶信息:
Person(id=uid=ben,ou=people,dc=didispace,dc=com, uid=ben, commonName=didi, userName=zhaiyongchao, userPassword=123,83,72,65,125,110,70,67,101,98,87,106,120,102,97,76,98,72,72,71,49,81,107,53,85,85,52,116,114,98,118,81,61)
添加用戶
通過上面的入門示例,如果您能夠獨立完成,那么在Spring Boot中操作LDAP的基礎目標已經完成了。
如果您足夠了解Spring Data,其實不難想到,這個在其下的子項目必然也遵守Repsitory的抽象。所以,我們可以使用上面定義的PersonRepository來輕松實現操作,比如下面的代碼就可以方便的往LDAP中添加用戶:
Person person = new Person();
person.setUid("uid:1");
person.setSuerName("AAA");
person.setCommonName("aaa");
person.setUserPassword("123456");
personRepository.save(person);
如果還想實現更多操作,您可以參考spring-data-ldap的文檔來進行使用。
連接LDAP服務端
在本文的例子中都采用了嵌入式的LDAP服務器,事實上這種方式也僅限於我們本地測試開發使用,真實環境下LDAP服務端必然是獨立部署的。
在Spring Boot的封裝下,我們只需要配置下面這些參數就能將上面的例子連接到遠端的LDAP而不是嵌入式的LDAP。
spring.ldap.urls=ldap://localhost:1235
spring.ldap.base=dc=didispace,dc=com
spring.ldap.username=didispace
spring.ldap.password=123456
關注我,后面更新如何與Spring Security結合使用!
本系列教程《Spring Boot 2.x基礎教程》點擊直達!。學習過程中如遇困難,建議加入Spring技術交流群,參與交流與討論,更好的學習與進步!
代碼示例
本文的相關例子可以查看下面倉庫中的chapter2-8目錄:
- Github:https://github.com/dyc87112/SpringBoot-Learning/
- Gitee:https://gitee.com/didispace/SpringBoot-Learning/
如果您覺得本文不錯,歡迎Star支持,您的關注是我堅持的動力!
歡迎關注我的公眾號:程序猿DD,分享外面看不到的干貨與思考!