差異處
這裏顯示兩個版本的差異處。
java:ldap:spring:ldapauthenticationprovider [2016/05/08 22:23] tony [執行認證] |
java:ldap:spring:ldapauthenticationprovider [2023/06/25 09:48] |
||
---|---|---|---|
行 1: | 行 1: | ||
- | {{tag>ldap spring spring-ldap spring-security}} | + | |
- | ====== LdapAuthenticationProvider - 透過LDAP做認證 ====== | + | |
- | ===== Introduction ===== | + | |
- | LdapAuthenticationProvider是Spring-Security整合LDAP認證的實做。本篇文章要告訴大家,如何透過它去驗證使用者並取得此使用者的對應群組。 | + | |
- | ===== How to? ===== | + | |
- | 要達成我們的目標,有幾個步驟需要完成: | + | |
- | - 連線設置: 設置LdapContextSource物件,[[java:ldap:spring:simpleauthentication|先前]]有寫過相關文章。 | + | |
- | - 使用者搜尋設置: 設置FilterBasedLdapUserSearch與BindAuthenticator物件。 | + | |
- | - 群組搜尋設置: 設置DefaultLdapAuthoritiesPopulator物件。 | + | |
- | - 執行認證: 透過LdapAuthenticationProvider執行驗證。 | + | |
- | 讓我們透過範例來做說明。 | + | |
- | ===== 我的範例 ===== | + | |
- | {{:java:ldap:spring:spring_ldapprovider_ldap_server_example1.png|}}\\ | + | |
- | 我希望能透過LdapAuthenticationProvider去認證ow=sw下的tonylin並取得其群組名稱mis。 | + | |
- | </code> | + | |
- | ===== 連線設置 ===== | + | |
- | 即建立LdapContextSource物件,我使用DefaultSpringSecurityContextSource完成我的實作。 | + | |
- | <code java> | + | |
- | LdapContextSource contextSource = new DefaultSpringSecurityContextSource("ldap://192.168.1.13:389"); | + | |
- | contextSource.setBase("dc=testldap,dc=org"); | + | |
- | contextSource.setUserDn("cn=admin,dc=testldap,dc=org"); | + | |
- | contextSource.setPassword("123456"); | + | |
- | contextSource.afterPropertiesSet(); | + | |
- | </code> | + | |
- | 如果你想透過多台LDAP server做認證,可以傳入String List給DefaultSpringSecurityContextSource,也可以透過多個provider方式去達到目的。差別在於前者的設定必須相同;後者則有較高的控制靈活度。 | + | |
- | ===== 使用者搜尋設置 ===== | + | |
- | LdapAuthenticationProvider將認證的動作交給LdapAuthenticator負責。實作是透過FilterBasedLdapUserSearch去搜尋使用者資料,並藉由BindAuthenticator使用bind方式經由LDAP server做認證。 | + | |
- | <code java> | + | |
- | FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch("ou=sw", "uid={0}", contextSource); | + | |
- | BindAuthenticator authenticator = new BindAuthenticator(contextSource); | + | |
- | authenticator.setUserSearch(userSearch); | + | |
- | </code> | + | |
- | 需注意的部分是FilterBasedLdapUserSearch的前兩個參數: | + | |
- | - 搜尋使用者的base DN: 是從contextSource設定的base DN算起,以我的例子完整的DN就是ow=sw,dc=testldap,dc=org。 | + | |
- | - 使用者過濾規則: 假如我搜尋帳號為tonylin,則搜尋條件就會變成uid=tonylin。有的人會搭配使用objectClass去區分user與group。 | + | |
- | ===== 群組搜尋設置 ===== | + | |
- | 與使用者搜尋設置類似,就是透過DefaultLdapAuthoritiesPopulator去搜尋使用者所對應的群組。 | + | |
- | <code java> | + | |
- | DefaultLdapAuthoritiesPopulator authoritiesPopulator = new DefaultLdapAuthoritiesPopulator(contextSource, "ou=sw"); | + | |
- | + | ||
- | authoritiesPopulator.setGroupSearchFilter("uniqueMember={0}"); | + | |
- | authoritiesPopulator.setConvertToUpperCase(false); | + | |
- | authoritiesPopulator.setRolePrefix(""); | + | |
- | authoritiesPopulator.setSearchSubtree(true); | + | |
- | </code> | + | |
- | 需注意的部分為: | + | |
- | - 搜尋群組的base DN: 與FilterBasedLdapUserSearch是一樣的使用方法。 | + | |
- | - 群組過濾規則: 以我的例子uniqueMember={0}來說,如果使用者為uid=tonylin,ou=sw,dc=testldap,dc=org,代表我要搜尋群組包含uniqueMember=uid=tonylin,ou=sw,dc=testldap,dc=org。 | + | |
- | - setConvertToUpperCase: 搜尋到的群組名稱是否要轉為大寫,不轉則是照原本的。 | + | |
- | - setRolePrefix: 搜尋到的群組名稱所要設定的prefix。 | + | |
- | - setSearchSubtree: 是否要搜尋base DN底下的子群組,通常都是會搜尋的,除非要使用的群組並沒有子群。 | + | |
- | ===== 執行認證 ===== | + | |
- | 將我們設置的那些類別給塞到provider內,接著透過UsernamePasswordAuthenticationToken來模擬登入動作: | + | |
- | <code java> | + | |
- | LdapAuthenticationProvider provider = new LdapAuthenticationProvider(authenticator, authoritiesPopulator); | + | |
- | + | ||
- | UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("tonylin", "123456"); | + | |
- | try { | + | |
- | Authentication ret = provider.authenticate(token); | + | |
- | Collection<? extends GrantedAuthority> authorities = ret.getAuthorities(); | + | |
- | assertEquals(1, authorities.size()); | + | |
- | assertEquals("mis", authorities.toArray(new GrantedAuthority[0])[0].getAuthority()); | + | |
- | } catch( Exception e ){ | + | |
- | fail(); | + | |
- | } | + | |
- | </code> | + |