LdapAuthenticationProvider - Support Secure connection

前一篇文章中，告訴大家如何使用LdapAuthenticationProvider去透過LDAP server做驗證。然而驗證動作透過明文傳遞資料是非常不安全的，有心人士隨便就可以竊取你的帳號密碼。如果今天包是出在你的軟體上，客戶會對你們的軟體失去信心(幹譙是一定的)。因此本篇主要告訴大家，如何透過安全連線做驗證。

首先需要注意的是這幾個名詞: SSL、TLS與StartTLS。

• SSL與TLS: 使用ldaps，通常port為636，為加密連線。TLS是用來取代SSL的；一般用於client-server溝通，如https。
• StartTLS: 使用ldap，通常port為389，是非加密連線的擴充。連線時會透過定義好的溝通方式，將連線升級為加密連線，可以是SSL也可以是TLS；一般用於server內部溝通。

TLS和StartTLS非常容易混淆，甚至認為它是同種東西。像LdapAdmin、Linux、Cisco Firesight等就是把StartTLS當TLS，而Apache Studio、SonicWall是稱為StartTLS或StartTLS extension。

要使用SSL只要將protocol改為ldaps並注意使用的port即可，我分別以驗證成功與失敗做例子:

@Test
public void testSSL(){
	LdapContextSource contextSource = new LdapContextSource();
	contextSource.setUrl("ldaps://192.168.1.13:636");
	contextSource.setBase("dc=testldap,dc=org");
	contextSource.setUserDn("cn=admin,dc=testldap,dc=org");
	contextSource.setPassword("123456");
	contextSource.afterPropertiesSet();
 
	LdapAuthenticationProvider provider = createProvider(contextSource);
 
	UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("tonylin", "123456");
	try {
		Authentication ret = provider.authenticate(token);
		Collection<? extends GrantedAuthority> authorities = ret.getAuthorities();
		assertEquals(1, authorities.size());
		assertEquals("mis", authorities.toArray(new GrantedAuthority[0])[0].getAuthority());
	} catch( Exception e ){
		fail();
	}
 
	token = new UsernamePasswordAuthenticationToken("tonylin", "12345678");
	try {
		 provider.authenticate(token);
		 fail();
	} catch( BadCredentialsException e ){
		assertEquals("Bad credentials", e.getMessage());
	}
}
 
private LdapAuthenticationProvider createProvider(LdapContextSource contextSource){
	FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch("ou=sw", "uid={0}", contextSource);
	BindAuthenticator authenticator = new BindAuthenticator(contextSource);
	authenticator.setUserSearch(userSearch);
 
	DefaultLdapAuthoritiesPopulator authoritiesPopulator = new DefaultLdapAuthoritiesPopulator(contextSource, "ou=sw");
 
	authoritiesPopulator.setGroupSearchFilter("uniqueMember={0}");
	authoritiesPopulator.setConvertToUpperCase(false);
	authoritiesPopulator.setRolePrefix("");
	authoritiesPopulator.setSearchSubtree(true);
 
	return new LdapAuthenticationProvider(authenticator, authoritiesPopulator);	
}

• SSL VS. TLS VS. STARTTLS
• is-starttls-more-safe-than-tls-ssl
• ldaps-or-starttls-that-is-the-question
• StartTLS of GMail
• SSL與TLS差異
• UI Design of SonicWall
• UI Design of Firesight system
• UI Design of Citrix-Netscaler