# 使用LDAP驗證用戶 本指南將引導您完成創建應用程序并使用 對其進行保護的過程 [Spring Security](https://projects.spring.io/spring-security/) LDAP模塊 。 ## 你會建立什么 您將構建一個簡單的Web應用程序，該應用程序由Spring Security的嵌入式基于Java的LDAP服務器保護。 您將使用包含一組用戶的數據文件加載LDAP服務器。 ## 你需要什么 * 約15分鐘 * 最喜歡的文本編輯器或IDE * [JDK 1.8](http://www.oracle.com/technetwork/java/javase/downloads/index.html) 或更高版本 * [Gradle 4+](http://www.gradle.org/downloads) 或 [Maven 3.2+](https://maven.apache.org/download.cgi) * 您還可以將代碼直接導入到IDE中： * [彈簧工具套件（STS）](https://spring.io/guides/gs/sts) * [IntelliJ IDEA](https://spring.io/guides/gs/intellij-idea/) ## 如何完成本指南 像大多數Spring 一樣 [入門指南](https://spring.io/guides) ，您可以從頭開始并完成每個步驟，也可以繞過您已經熟悉的基本設置步驟。 無論哪種方式，您最終都可以使用代碼。 要 **從頭開始** ，請繼續進行“ [從Spring Initializr開始”](https://spring.io/guides/gs/authenticating-ldap/#scratch) 。 要 **跳過基礎知識** ，請執行以下操作： * [下載](https://github.com/spring-guides/gs-authenticating-ldap/archive/master.zip) 并解壓縮本指南的源存儲庫，或使用 對其進行克隆 [Git](https://spring.io/understanding/Git) ： `git clone [https://github.com/spring-guides/gs-authenticating-ldap.git](https://github.com/spring-guides/gs-authenticating-ldap.git)` * 光盤進入 `gs-authenticating-ldap/initial` * 繼續 [創建一個簡單的Web控制器](https://spring.io/guides/gs/authenticating-ldap/#initial) 。 **完成后** ，您可以根據中的代碼檢查結果 `gs-authenticating-ldap/complete`. ## 從Spring Initializr開始 因為本指南的重點是保護不安全的Web應用程序，所以您將首先構建不安全的Web應用程序，然后在本指南的后面，為Spring Security和LDAP功能添加更多依賴項。 如果您使用Maven，請訪問 [Spring Initializr](https://start.spring.io/#!type=maven-project&language=java&platformVersion=2.4.3.RELEASE&packaging=jar&jvmVersion=1.8&groupId=com.example&artifactId=authenticating-ldap&name=authenticating-ldap&description=Demo%20project%20for%20Spring%20Boot&packageName=com.example.authenticating-ldap&dependencies=web) 以生成具有所需依賴項的新項目（Spring Web）。 以下清單顯示了 `pom.xml` 選擇Maven時創建的文件： ~~~ <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.4.3</version> <relativePath/> <!-- lookup parent from repository --> </parent> <groupId>com.example</groupId> <artifactId>authenticating-ldap</artifactId> <version>0.0.1-SNAPSHOT</version> <name>authenticating-ldap</name> <description>Demo project for Spring Boot</description> <properties> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project> ~~~ 如果您使用Gradle，請訪問 [Spring Initializr](https://start.spring.io/#!type=gradle-project&language=java&platformVersion=2.4.3.RELEASE&packaging=jar&jvmVersion=1.8&groupId=com.example&artifactId=authenticating-ldap&name=authenticating-ldap&description=Demo%20project%20for%20Spring%20Boot&packageName=com.example.authenticating-ldap&dependencies=web) 以生成具有所需依賴項的新項目（Spring Web）。 以下清單顯示了 `build.gradle`選擇Gradle時創建的文件： ~~~ plugins { id 'org.springframework.boot' version '2.4.3' id 'io.spring.dependency-management' version '1.0.11.RELEASE' id 'java' } group = 'com.example' version = '0.0.1-SNAPSHOT' sourceCompatibility = '1.8' repositories { mavenCentral() } dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' testImplementation 'org.springframework.boot:spring-boot-starter-test' } test { useJUnitPlatform() } ~~~ ### 手動初始化（可選） 如果要手動初始化項目而不是使用前面顯示的鏈接，請按照以下步驟操作： 1. 導航到 [https://start.spring.io](https://start.spring.io) 。 該服務提取應用程序所需的所有依賴關系，并為您完成大部分設置。 2. 選擇Gradle或Maven以及您要使用的語言。 本指南假定您選擇了Java。 3. 單擊 **Dependencies，** 然后選擇 **Spring Web** 。 4. 點擊 **生成** 。 5. 下載生成的ZIP文件，該文件是使用您的選擇配置的Web應用程序的存檔。 如果您的IDE集成了Spring Initializr，則可以從IDE中完成此過程。 ## 創建一個簡單的Web控制器 在Spring中，REST端點是Spring MVC控制器。 下面的Spring MVC控制器（來自 `src/main/java/com/example/authenticatingldap/HomeController.java`）處理 `GET /` 通過返回一條簡單消息來請求： ~~~ package com.example.authenticatingldap; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class HomeController { @GetMapping("/") public String index() { return "Welcome to the home page!"; } } ~~~ 整個班級都標有 `@RestController` 這樣Spring MVC可以自動檢測控制器（通過使用其內置的掃描功能）并自動配置必要的Web路由。 `@RestController`還會告訴Spring MVC將文本直接寫入HTTP響應正文中，因為沒有視圖。 相反，當您訪問頁面時，您會在瀏覽器中收到一條簡單的消息（因為本指南的重點是使用LDAP保護頁面）。 ## 生成不安全的Web應用程序 在保護Web應用程序之前，應驗證其是否正常運行。 為此，您需要定義一些鍵豆，可以通過創建一個 `Application`班級。 以下清單（來自 `src/main/java/com/example/authenticatingldap/AuthenticatingLdapApplication.java`）顯示該類： ~~~ package com.example.authenticatingldap; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class AuthenticatingLdapApplication { public static void main(String[] args) { SpringApplication.run(AuthenticatingLdapApplication.class, args); } } ~~~ `@SpringBootApplication` 是一個方便注釋，它添加了以下所有內容： * `@Configuration`：將類標記為應用程序上下文的Bean定義的源。 * `@EnableAutoConfiguration`：告訴Spring Boot根據類路徑設置，其他bean和各種屬性設置開始添加bean。 例如，如果 `spring-webmvc` 在類路徑上，此注釋將應用程序標記為Web應用程序并激活關鍵行為，例如設置 `DispatcherServlet`. * `@ComponentScan`：告訴Spring在服務器中尋找其他組件，配置和服務 `com/example` 包，讓它找到控制器。 這 `main()` 方法使用Spring Boot的 `SpringApplication.run()`啟動應用程序的方法。 您是否注意到沒有一行XML？ 沒有 `web.xml`文件。 該Web應用程序是100％純Java，因此您無需處理任何管道或基礎結構。 ### 建立可執行的JAR 您可以使用Gradle或Maven從命令行運行該應用程序。 您還可以構建一個包含所有必需的依賴項，類和資源的可執行JAR文件，然后運行該文件。 生成可執行jar使得在整個開發生命周期中，跨不同環境等等的情況下，都可以輕松地將服務作為應用程序進行發布，版本控制和部署。 如果您使用Gradle，則可以通過使用以下命令運行該應用程序 `./gradlew bootRun`。 或者，您可以通過使用以下命令構建JAR文件： `./gradlew build` 然后運行JAR文件，如下所示： ~~~ java -jar build/libs/gs-authenticating-ldap-0.1.0.jar ~~~ 如果您使用Maven，則可以通過使用以下命令運行該應用程序 `./mvnw spring-boot:run`。 或者，您可以使用以下命令構建JAR文件： `./mvnw clean package` 然后運行JAR文件，如下所示： ~~~ java -jar target/gs-authenticating-ldap-0.1.0.jar ~~~ 此處描述的步驟將創建可運行的JAR。 您還可以 構建經典的WAR文件 。 如果打開瀏覽器并訪問 [http：// localhost：8080](http://localhost:8080) ，則應該看到以下純文本： ~~~ Welcome to the home page! ~~~ ## 設置Spring Security 要配置Spring Security，首先需要向構建中添加一些額外的依賴項。 對于基于Gradle的版本，請將以下依賴項添加到 `build.gradle` 文件： ~~~ compile("org.springframework.boot:spring-boot-starter-security") compile("org.springframework.ldap:spring-ldap-core") compile("org.springframework.security:spring-security-ldap") compile("com.unboundid:unboundid-ldapsdk") ~~~ 由于Gradle的工件分辨率問題， spring-tx 必須將 插入。否則，Gradle將獲取較舊的老版本，而該老版本將無法正常工作。 對于基于Maven的構建，請將以下依賴項添加到 `pom.xml` 文件： ~~~ <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.ldap</groupId> <artifactId>spring-ldap-core</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-ldap</artifactId> </dependency> <dependency> <groupId>com.unboundid</groupId> <artifactId>unboundid-ldapsdk</artifactId> </dependency> ~~~ 這些依賴項添加了Spring Security和一個開源LDAP服務器UnboundId。 有了這些依賴關系之后，您就可以使用純Java來配置安全策略，如以下示例所示（來自 `src/main/java/com/example/authenticatingldap/WebSecurityConfig.java`）顯示： ~~~ package com.example.authenticatingldap; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().fullyAuthenticated() .and() .formLogin(); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth .ldapAuthentication() .userDnPatterns("uid={0},ou=people") .groupSearchBase("ou=groups") .contextSource() .url("ldap://localhost:8389/dc=springframework,dc=org") .and() .passwordCompare() .passwordEncoder(new BCryptPasswordEncoder()) .passwordAttribute("userPassword"); } } ~~~ 要自定義安全設置，請使用 `WebSecurityConfigurer`。 在上面的示例中，這是通過覆蓋以下方法來完成的： `WebSecurityConfigurerAdapter` 實施 `WebSecurityConfigurer` 界面。 您還需要一個LDAP服務器。 Spring Boot為使用純Java編寫的嵌入式服務器提供了自動配置，本指南將使用它。 這 `ldapAuthentication()` 方法配置事物，以便將登錄表單中的用戶名插入 `{0}` 這樣它搜索 `uid={0},ou=people,dc=springframework,dc=org`在LDAP服務器中。 另外， `passwordCompare()` 方法配置編碼器和密碼屬性的名稱。 ## 設置用戶數據 LDAP服務器可以使用LDIF（LDAP數據交換格式）文件交換用戶數據。 這 `spring.ldap.embedded.ldif` 里面的財產 `application.properties`讓Spring Boot提取LDIF數據文件。 這樣可以很容易地預加載演示數據。 以下清單（來自 `src/main/resources/test-server.ldif`）顯示了適用于此示例的LDIF文件： ~~~ dn: dc=springframework,dc=org objectclass: top objectclass: domain objectclass: extensibleObject dc: springframework dn: ou=groups,dc=springframework,dc=org objectclass: top objectclass: organizationalUnit ou: groups dn: ou=subgroups,ou=groups,dc=springframework,dc=org objectclass: top objectclass: organizationalUnit ou: subgroups dn: ou=people,dc=springframework,dc=org objectclass: top objectclass: organizationalUnit ou: people dn: ou=space cadets,dc=springframework,dc=org objectclass: top objectclass: organizationalUnit ou: space cadets dn: ou=\"quoted people\",dc=springframework,dc=org objectclass: top objectclass: organizationalUnit ou: "quoted people" dn: ou=otherpeople,dc=springframework,dc=org objectclass: top objectclass: organizationalUnit ou: otherpeople dn: uid=ben,ou=people,dc=springframework,dc=org objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Ben Alex sn: Alex uid: ben userPassword: $2a$10$c6bSeWPhg06xB1lvmaWNNe4NROmZiSpYhlocU/98HNr2MhIOiSt36 dn: uid=bob,ou=people,dc=springframework,dc=org objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Bob Hamilton sn: Hamilton uid: bob userPassword: bobspassword dn: uid=joe,ou=otherpeople,dc=springframework,dc=org objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Joe Smeth sn: Smeth uid: joe userPassword: joespassword dn: cn=mouse\, jerry,ou=people,dc=springframework,dc=org objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Mouse, Jerry sn: Mouse uid: jerry userPassword: jerryspassword dn: cn=slash/guy,ou=people,dc=springframework,dc=org objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: slash/guy sn: Slash uid: slashguy userPassword: slashguyspassword dn: cn=quote\"guy,ou=\"quoted people\",dc=springframework,dc=org objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: quote\"guy sn: Quote uid: quoteguy userPassword: quoteguyspassword dn: uid=space cadet,ou=space cadets,dc=springframework,dc=org objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Space Cadet sn: Cadet uid: space cadet userPassword: spacecadetspassword dn: cn=developers,ou=groups,dc=springframework,dc=org objectclass: top objectclass: groupOfUniqueNames cn: developers ou: developer uniqueMember: uid=ben,ou=people,dc=springframework,dc=org uniqueMember: uid=bob,ou=people,dc=springframework,dc=org dn: cn=managers,ou=groups,dc=springframework,dc=org objectclass: top objectclass: groupOfUniqueNames cn: managers ou: manager uniqueMember: uid=ben,ou=people,dc=springframework,dc=org uniqueMember: cn=mouse\, jerry,ou=people,dc=springframework,dc=org dn: cn=submanagers,ou=subgroups,ou=groups,dc=springframework,dc=org objectclass: top objectclass: groupOfUniqueNames cn: submanagers ou: submanager uniqueMember: uid=ben,ou=people,dc=springframework,dc=org ~~~ 對于生產系統，使用LDIF文件不是標準配置。 但是，它對于測試目的或指南很有用。 如果您訪問位于 的站點 [http：// localhost：8080](http://localhost:8080) ，則應將您重定向到Spring Security提供的登錄頁面。 輸入用戶名 `ben` 和密碼為 `benspassword`。 您應該在瀏覽器中看到以下消息： ~~~ Welcome to the home page! ~~~ ## 概括 恭喜你！ 您已經編寫了一個Web應用程序，并使用 對其進行了 [Spring Security 保護](https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/) 。 在這種情況下，您使用了 [基于LDAP的用戶存儲](https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#ldap) 。