很多時(shí)候，我們在構(gòu)建系統(tǒng)的時(shí)候都會(huì)自己創(chuàng)建用戶管理體系，這對于開發(fā)人員來說并不是什么難事，但是當(dāng)我們需要維護(hù)多個(gè)不同系統(tǒng)并且相同用戶跨系統(tǒng)使用的情況下，如果每個(gè)系統(tǒng)維護(hù)自己的用戶信息，那么此時(shí)用戶信息的同步就會(huì)變的比較麻煩，對于用戶自身來說也會(huì)非常困擾，很容易出現(xiàn)不同系統(tǒng)密碼不一致啊等情況出現(xiàn)。如果此時(shí)我們引入LDAP來集中存儲(chǔ)用戶的基本信息并提供統(tǒng)一的讀寫接口和校驗(yàn)機(jī)制，那么這樣的問題就比較容易解決了。下面就來說說當(dāng)我們使用Spring Boot開發(fā)的時(shí)候，如何來訪問LDAP服務(wù)端。

LDAP簡介

LDAP（輕量級目錄訪問協(xié)議，Lightweight Directory Access Protocol)是實(shí)現(xiàn)提供被稱為目錄服務(wù)的信息服務(wù)。目錄服務(wù)是一種特殊的數(shù)據(jù)庫系統(tǒng)，其專門針對讀取，瀏覽和搜索操作進(jìn)行了特定的優(yōu)化。目錄一般用來包含描述性的，基于屬性的信息并支持精細(xì)復(fù)雜的過濾能力。目錄一般不支持通用數(shù)據(jù)庫針對大量更新操作操作需要的復(fù)雜的事務(wù)管理或回卷策略。而目錄服務(wù)的更新則一般都非常簡單。這種目錄可以存儲(chǔ)包括個(gè)人信息、web鏈結(jié)、jpeg圖像等各種信息。為了訪問存儲(chǔ)在目錄中的信息，就需要使用運(yùn)行在TCP/IP 之上的訪問協(xié)議—LDAP。

LDAP目錄中的信息是是按照樹型結(jié)構(gòu)組織，具體信息存儲(chǔ)在條目(entry)的數(shù)據(jù)結(jié)構(gòu)中。條目相當(dāng)于關(guān)系數(shù)據(jù)庫中表的記錄；條目是具有區(qū)別名DN （Distinguished Name）的屬性（Attribute），DN是用來引用條目的，DN相當(dāng)于關(guān)系數(shù)據(jù)庫表中的關(guān)鍵字（Primary Key）。屬性由類型（Type）和一個(gè)或多個(gè)值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫中的字段（Field）由字段名和數(shù)據(jù)類型組成，只是為了方便檢索的需要，LDAP中的Type可以有多個(gè)Value，而不是關(guān)系數(shù)據(jù)庫中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。LDAP中條目的組織一般按照地理位置和組織關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫，而不是關(guān)系數(shù)據(jù)庫。類型的一個(gè)例子就是mail，其值將是一個(gè)電子郵件地址。

LDAP的信息是以樹型結(jié)構(gòu)存儲(chǔ)的，在樹根一般定義國家(c=CN)或域名(dc=com)，在其下則往往定義一個(gè)或多個(gè)組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個(gè)組織單元可能包含諸如所有雇員、大樓內(nèi)的所有打印機(jī)等信息。此外，LDAP支持對條目能夠和必須支持哪些屬性進(jìn)行控制，這是有一個(gè)特殊的稱為對象類別(objectClass)的屬性來實(shí)現(xiàn)的。該屬性的值決定了該條目必須遵循的一些規(guī)則，其規(guī)定了該條目能夠及至少應(yīng)該包含哪些屬性。例如：inetorgPerson對象類需要支持sn(surname)和cn(common name)屬性，但也可以包含可選的如郵件，電話號碼等屬性。

LDAP簡稱對應(yīng)

1. o：organization（組織-公司）
2. ou：organization unit（組織單元-部門）
3. c：countryName（國家）
4. dc：domainComponent（域名）
5. sn：suer name（真實(shí)名稱）
6. cn：common name（常用名稱）

入門示例

在了解了LDAP的基礎(chǔ)概念之后，我們通過一個(gè)簡單例子進(jìn)一步理解！

創(chuàng)建一個(gè)基礎(chǔ)的Spring Boot項(xiàng)目（如果您還不會(huì)，可以參考這兩篇文章：入門1或入門2）

在pom.xml中引入兩個(gè)重要依賴

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-ldap</artifactId>
</dependency>

<dependency>
  <groupId>com.unboundid</groupId>
  <artifactId>unboundid-ldapsdk</artifactId>
  <scope>test</scope>
</dependency>

其中，spring-boot-starter-data-ldap是Spring Boot封裝的對LDAP自動(dòng)化配置的實(shí)現(xiàn)，它是基于spring-data-ldap來對LDAP服務(wù)端進(jìn)行具體操作的。

而unboundid-ldapsdk主要是為了在這里使用嵌入式的LDAP服務(wù)端來進(jìn)行測試操作，所以scope設(shè)置為了test，實(shí)際應(yīng)用中，我們通常會(huì)連接真實(shí)的、獨(dú)立部署的LDAP服務(wù)器，所以不需要此項(xiàng)依賴。

在src/test/resources目錄下創(chuàng)建ldap-server.ldif文件，用來存儲(chǔ)LDAP服務(wù)端的基礎(chǔ)數(shù)據(jù)，以備后面的程序訪問之用。

dn: dc=didispace,dc=com
objectClass: top
objectClass: domain

dn: ou=people,dc=didispace,dc=com
objectclass: top
objectclass: organizationalUnit
ou: people

dn: uid=ben,ou=people,dc=didispace,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: didi
sn: zhaiyongchao
uid: didi
userPassword: {SHA}nFCebWjxfaLbHHG1Qk5UU4trbvQ=

這里創(chuàng)建了一個(gè)基礎(chǔ)用戶，真實(shí)姓名為zhaiyongchao,常用名didi，在后面的程序中，我們會(huì)來讀取這些信息。更多內(nèi)容解釋大家可以深入學(xué)習(xí)LDAP來理解，這里不做過多的講解。

在application.properties中添加嵌入式LDAP的配置

spring.ldap.embedded.ldif=ldap-server.ldif
spring.ldap.embedded.base-dn=dc=didispace,dc=com

使用spring-data-ldap的基礎(chǔ)用法，定義LDAP中屬性與我們Java中定義實(shí)體的關(guān)系映射以及對應(yīng)的Repository

@Data
@Entry(base = "ou=people,dc=didispace,dc=com", objectClasses = "inetOrgPerson")
public class Person {

  @Id
  private Name id;
  @DnAttribute(value = "uid", index = 3)
  private String uid;
  @Attribute(name = "cn")
  private String commonName;
  @Attribute(name = "sn")
  private String suerName;
  private String userPassword;
}

public interface PersonRepository extends CrudRepository<Person, Name> {
}

通過上面的定義之后，已經(jīng)將Person對象與LDAP存儲(chǔ)內(nèi)容實(shí)現(xiàn)了映射，我們只需要使用PersonRepository就可以輕松的對LDAP內(nèi)容實(shí)現(xiàn)讀寫。

創(chuàng)建單元測試用例讀取所有用戶信息：

@RunWith(SpringRunner.class)
@SpringBootTest
public class ApplicationTests {

  @Autowired
  private PersonRepository personRepository;

  @Test
  public void findAll() throws Exception {
    personRepository.findAll().forEach(p -> {
      System.out.println(p);
    });
  }
}

啟動(dòng)該測試用例之后，我們可以看到控制臺(tái)中輸出了剛才維護(hù)在ldap-server.ldif中的用戶信息：

2018-01-27 14:25:06.283  WARN 73630 --- [           main] o.s.ldap.odm.core.impl.ObjectMetaData    : The Entry class Person should be declared final
Person(id=uid=ben,ou=people,dc=didispace,dc=com, uid=ben, commonName=didi, suerName=zhaiyongchao, userPassword=123,83,72,65,125,110,70,67,101,98,87,106,120,102,97,76,98,72,72,71,49,81,107,53,85,85,52,116,114,98,118,81,61)

添加用戶

通過上面的入門示例，如果您能夠獨(dú)立完成，那么在Spring Boot中操作LDAP的基礎(chǔ)目標(biāo)已經(jīng)完成了。

如果您足夠了解Spring Data，其實(shí)不難想到，這個(gè)在其下的子項(xiàng)目必然也遵守Repsitory的抽象。所以，我們可以使用上面定義的PersonRepository來輕松實(shí)現(xiàn)操作，比如下面的代碼就可以方便的往LDAP中添加用戶：

Person person = new Person();
person.setUid("uid:1");
person.setSuerName("AAA");
person.setCommonName("aaa");
person.setUserPassword("123456");
personRepository.save(person);

如果還想實(shí)現(xiàn)更多操作，您可以參考spring-data-ldap的文檔來進(jìn)行使用。

連接LDAP服務(wù)端

在本文的例子中都采用了嵌入式的LDAP服務(wù)器，事實(shí)上這種方式也僅限于我們本地測試開發(fā)使用，真實(shí)環(huán)境下LDAP服務(wù)端必然是獨(dú)立部署的。

在Spring Boot的封裝下，我們只需要配置下面這些參數(shù)就能將上面的例子連接到遠(yuǎn)端的LDAP而不是嵌入式的LDAP。

spring.ldap.urls=ldap://localhost:1235
spring.ldap.base=dc=didispace,dc=com
spring.ldap.username=didispace
spring.ldap.password=123456

本文代碼

可以通過下面兩個(gè)倉庫中查閱chapter3-2-10目錄：

Github：https://github.com/dyc87112/SpringBoot-Learning/

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論