利用Spring进行LDAP验证登录遇到的问题及其解决方式

最新推荐文章于 2024-08-20 18:21:04 发布
最新推荐文章于 2024-08-20 18:21:04 发布
阅读量2.1w 收藏 11
点赞数 4
分类专栏: 程序开发 文章标签: spring ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t894690230/article/details/52928369
版权

有些系统需要使用公司内部的域帐号登录,那么就需要连接LDAP进行验证,Spring Secutiry提供了使用LDAP验证的方式(就相比登录验证来说,Spring提供的LDAP验证,比自己实现LDAP验证真是麻烦了不少),能完美契合Spring Secutiry的可参考这篇文章:https://www.ibm.com/developerworks/cn/java/j-lo-springsecurity/

我主要遇到的问题是:大概SpringSecurityLdapTemplate认为使用匿名登录LDAP就能获取或验证用户信息(也可能是我没找到),所以在使用LdapUserSearch.searchForUser(username)之前,并没用提供输入用户名与密码的地方,因为它是通过获取ContextSource.getReadOnlyContext()方法来获取ContextSource的,而不是使用ContextSource.getContext(String principal, String credentials)方法,这就导致了使用匿名方式会获取不到用户信息。这个问题可以通过扩展LdapContextSource的实现类来自定义环境变量实现实名登录,如下(所有*大多为隐去的部分,可能需要替换):

package com.***.config.auth;

import java.util.Hashtable;

import javax.naming.Context;
import javax.naming.NamingException;
import javax.naming.directory.DirContext;

import org.springframework.security.ldap.ppolicy.PasswordPolicyAwareContextSource;

/**
 * 登录环境变量的设置
 */
public class LoginContextSource extends PasswordPolicyAwareContextSource {
    private static final String LDAP_FACTORY = "com.sun.jndi.ldap.LdapCtxFactory";

    public LoginContextSource(String providerUrl) {
        super(providerUrl);

        this.afterPropertiesSet();
    }

    @Override
    protected DirContext getDirContextInstance(Hashtable<String, Object> environment) throws NamingException {
        environment.put(Context.INITIAL_CONTEXT_FACTORY, LDAP_FACTORY);
        // LDAP server
        //environment.put(Context.PROVIDER_URL, ladpUrl);
        environment.put(Context.SECURITY_AUTHENTICATION, "simple");
        // 这里只是做一个演示,后面其实并不需要公用的帐号登录
        environment.put(Context.SECURITY_PRINCIPAL, "username");
        environment.put(Context.SECURITY_CREDENTIALS, "password");
        environment.put("java.naming.referral", "follow");

        return super.getDirContextInstance(environment);
    }
}

同时由于Spring Secutiry自带的验证方式并不适合自己的需求,最主要的原因是Spring Secutiry使用匿名登录进行搜索,可能导致无法搜索到用户,而又不可能提供公用账户(涉及到改密码就会比较麻烦),所以只能使用用户自己的域帐户登录后,再使用这个DirContext获取他自己的资料,那么就需要自己实现AbstractLdapAuthenticator类,并实现自己的验证逻辑,如下:

package com.***.config.auth;

import javax.naming.Context;
import javax.naming.NamingException;
import javax.naming.directory.SearchControls;
import javax.naming.ldap.LdapContext;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.ldap.core.ContextSource;
import org.springframework.ldap.core.DirContextOperations;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.ldap.SpringSecurityLdapTemplate;
import org.springframework.security.ldap.authentication.AbstractLdapAuthenticator;

/**
 * 自定义的LDAP登录认证器
 */
public class LoginAuthenticator extends AbstractLdapAuthenticator {
    private static final Log logger = LogFactory.getLog(LoginAuthenticator.class);

    /**
     * The filter expression used in the user search. This is an LDAP search filter (as
     * defined in 'RFC 2254') with optional arguments. See the documentation for the
     * <tt>search</tt> methods in {@link javax.naming.directory.DirContext DirContext} for
     * more information.
     *
     * <p>
     * In this case, the username is the only parameter.
     * </p>
     * Possible examples are:
     * <ul>
     * <li>(uid={0}) - this would search for a username match on the uid attribute.</li>
     * </ul>
     */
    private final String searchFilter;

    /** Context name to search in, relative to the base of the configured ContextSource. */
    private String searchBase = "";

    /** Default search controls */
    private SearchControls searchControls = new SearchControls();

    public LoginAuthenticator(ContextSource contextSource, String searchBase, String searchFilter) {
        super(contextSource);

        this.searchFilter = searchFilter;
        this.searchBase = searchBase;

        if (searchBase.length() == 0) {
            logger.info("SearchBase not set. Searches will be performed from the root: ---");
        }
    }

    @Override
    public DirContextOperations authenticate(Authentication authentication) {
        DirContextOperations user = null;

        String username = authentication.getName();
        String password = (String) authentication.getCredentials();

        ContextSource contextSource = getContextSource();
        LdapContext context = (LdapContext) contextSource.getReadOnlyContext();

        try {
            // 尝试使用用户的域账号登陆LDAP,如果连接成功那么就算是通过
            context.addToEnvironment(Context.SECURITY_PRINCIPAL, username + "@buyabs.corp");
            context.addToEnvironment(Context.SECURITY_CREDENTIALS, password);
            context.reconnect(null);
        } catch (NamingException e) {
            if (logger.isDebugEnabled()) {
                logger.debug("Username or password does not match: " + e.getLocalizedMessage());
            }
            // 如果重新连接不上,则断定为登陆失败
            throw new UsernameNotFoundException("Username or password does not match: " + e.getLocalizedMessage());
        }

        // 使用用户自己的域账号登陆LDAP,并获取信息。避免使用公用账号获取信息(因为我们压根没有公用账号0_0)
        if (user == null && getUserSearch() != null) {
            try {
                searchControls.setSearchScope(SearchControls.SUBTREE_SCOPE);
                user = SpringSecurityLdapTemplate.searchForSingleEntryInternal(context, searchControls, searchBase, searchFilter, new String[] { username });
            } catch (NamingException e) {
                if (logger.isDebugEnabled()) {
                    logger.debug("Username or password does not match: " + e.getLocalizedMessage());
                }
            }
        }

        if (user == null) {
            throw new UsernameNotFoundException("User not found: " + username);
        }

        return user;
    }

}

同时,还需要扩展LdapAuthoritiesPopulator(权限处理)类,如下:

package com.***.config.auth;

import java.util.Collection;
import java.util.List;

import javax.annotation.Resource;

import org.springframework.context.annotation.Scope;
import org.springframework.ldap.core.DirContextOperations;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.ldap.userdetails.LdapAuthoritiesPopulator;
import org.springframework.stereotype.Service;

import com.newegg.dba.smartdatastack.db.dao.UserInfoDAO;
import com.newegg.dba.smartdatastack.db.vo.UserRoleVO;

/**
 * Spring Secutity 登陆时,获取权限的实现
 */
@Service("ldapAuthoritiesPopulator")
@Scope("prototype")
public class PortalLdapAuthoritiesPopulator implements LdapAuthoritiesPopulator {

    @Resource(name="userInfoDAO")
    private UserInfoDAO userInfoDAO;

    @Override
    public Collection<? extends GrantedAuthority> getGrantedAuthorities(DirContextOperations userData,
            String username) {

        List<UserRoleVO> roleLs = userInfoDAO.findRoleByUserName(username);

        return roleLs;
    }
}

这样,基本的扩展类就已经准备好了,再建一个Builder类,如下:

package com.***.auth;

import java.util.Properties;

import javax.annotation.Resource;

import org.springframework.context.annotation.Scope;
import org.springframework.ldap.core.support.BaseLdapPathContextSource;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.ldap.authentication.LdapAuthenticationProvider;
import org.springframework.security.ldap.search.FilterBasedLdapUserSearch;
import org.springframework.stereotype.Service;

@Service("authenticatorProviderBuilder")
@Scope("prototype")
public class AuthenticatorProviderBuilder {
    @Resource(name="ldapAuthoritiesPopulator")
    PortalLdapAuthoritiesPopulator ldapAuthoritiesPopulator; 

    @Resource(name="profileSetting")
    Properties setting;

    public AuthenticationProvider getAuthenticationProvider() {
        String ladpDomain = setting.getProperty("ladp.domain");
        String ladpuserSearch = setting.getProperty("ladp.userSearch");
        String ladpUrl = setting.getProperty("ladp.url");

        BaseLdapPathContextSource contenxSource = new LoginContextSource(ladpUrl);

        FilterBasedLdapUserSearch userSearch = new FilterBasedLdapUserSearch(ladpDomain, ladpuserSearch, contenxSource);

        LoginAuthenticator bindAuth = new LoginAuthenticator(contenxSource, ladpDomain, ladpuserSearch);
        bindAuth.setUserSearch(userSearch);

        LdapAuthenticationProvider ldapAuth = new LdapAuthenticationProvider(bindAuth, ldapAuthoritiesPopulator);

        return ldapAuth;
    }
}

最后,就是配置了,因为使用的代码配置,所以其代码如下:

package com.***.config;

import javax.annotation.Resource;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import com.***.config.auth.AuthenticatorProviderBuilder;

@Configuration
@EnableWebSecurity
public class SpringSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Resource(name="authenticatorProviderBuilder")
    private AuthenticatorProviderBuilder authenticatorProviderBuilder; 

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth)
            throws Exception {
        //  配置LDAP的验证方式
        auth.authenticationProvider(authenticatorProviderBuilder.getAuthenticationProvider());
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        ...
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ...
    }

}

总结就是:由于自己所处的系统的原因,所以相比起来,Spring自带的LDAP验证登录还不如自己使用javax.naming.*下的类来实现灵活,附上使用这种方式测试时的源码吧:

package com.***.ldap;

import java.util.Hashtable;

import javax.naming.Context;
import javax.naming.NamingEnumeration;
import javax.naming.NamingException;
import javax.naming.directory.Attribute;
import javax.naming.directory.SearchControls;
import javax.naming.directory.SearchResult;
import javax.naming.ldap.InitialLdapContext;
import javax.naming.ldap.LdapContext;

/**
 * User AD 
 * <p>
 *  用于连接LDAP管理用户信息等操作
 * </p>
 * @author kt94
 *
 */
public class UserAD {
    private static final String LDAP_FACTORY = "com.sun.jndi.ldap.LdapCtxFactory";
    private static final String LDAP_URL = "ldap://127.0.0.1:389/";
    private static final String LDAP_DOMAIN = "dc=***,dc=***";
    private static final String PUBLIC_ACCOUNT = "username";
    private static final String PUBLIC_PASSWORD = "password";

    public static void main(String[] args) throws NamingException {
        UserAD userAD = new UserAD();

        NamingEnumeration<SearchResult> en = userAD.searchBySortName("kt94", 
                "name", "***", "***", "***", "***", "***", "***", "***");
        // NamingEnumeration<SearchResult> en = userAD.searchBySortName("kt94");

        if (en == null) {
            System.out.println("Have no NamingEnumeration.");
        }

        if (!en.hasMoreElements()) {
            System.out.println("Have no element.");
        } else {
            // 输出查到的数据
            while (en.hasMoreElements()) {
                SearchResult result = en.next();
                NamingEnumeration<? extends Attribute> attrs = result.getAttributes().getAll();
                while (attrs.hasMore()) {
                    Attribute attr = attrs.next();

                    if ("manager".equals(attr.getID())) {
                        String[] manArr = attr.get().toString().split(",");
                        if (manArr.length > 0) {
                            String[] manAttrArr = manArr[0].split("=");
                            if (manAttrArr.length > 1) {
                                System.out.println(attr.getID() + "=" + manAttrArr[1]);
                            }
                        }
                    } else {
                        System.out.println(attr.getID() + "=" + attr.get());
                    }
                }

                System.out.println("======================");

            }
        }

        boolean authenticate = userAD.authenticate("kttt", "111");
        System.out.println("authenticate: " + authenticate);
    }

    /**
     * 登陆认证
     * @param sortName
     * @param password
     * @return
     */
    public boolean authenticate(String sortName, String password) {
        if (sortName == null || "".equals(sortName)) {
            return false;
        }

        String account = sortName + "@***.***";

        LdapContext ladpContent = connectLdap("", "");
        try {
            ladpContent.addToEnvironment(Context.SECURITY_PRINCIPAL, account);
            ladpContent.addToEnvironment(Context.SECURITY_CREDENTIALS, password);
            ladpContent.reconnect(null);
        } catch (NamingException e) {
            return  false;
        }

        return true;
    }

    /**
     * 根据短名搜索用户
     * @param sortName
     * @param attributes
     * @return
     */
    public NamingEnumeration<SearchResult> searchBySortName(String sortName, String... attributes) {
        String filter = "(&(objectclass=user)(objectcategory=user)(sAMAccountName=" + sortName + "))";

        return search(filter, attributes);
    }

    /**
     * 根据英文名称搜索用户
     * @param name
     * @param attributes
     * @return
     */
    public NamingEnumeration<SearchResult> searchByName(String name, String... attributes) {
        String filter = "(&(objectclass=user)(objectcategory=user)(name=" + name + "))";

        return search(filter, attributes);
    }

    /**
     * 根据搜索条件搜索
     * @param filter - Filter, @see <a href="http://go.microsoft.com/fwlink/?LinkID=143553">LDAP syntax help</a>
     * @param attributes - Returning attributes
     * @return
     */
    public NamingEnumeration<SearchResult> search(String filter, String... attributes) {
        SearchControls searchControls = new SearchControls();
        searchControls.setSearchScope(SearchControls.SUBTREE_SCOPE);

        if (attributes != null && attributes.length > 0) {
            searchControls.setReturningAttributes(attributes);
        }

        LdapContext ladpContent = connectLdap(PUBLIC_ACCOUNT, PUBLIC_PASSWORD);

        NamingEnumeration<SearchResult> en = null;
        try {
            // 三个参数分别为:1.上下文;2.要搜索的属性,如果为空或 null,则返回目标上下文中的所有对象;3.控制搜索的搜索控件,如果为 null,则使用默认的搜索控件
            en = ladpContent.search(LDAP_DOMAIN, filter, searchControls);
        } catch (NamingException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

        return en;
    }

    /**
     * 连接LDAP
     * @param account - [Short name]@buyabs.corp
     * @param password - Your windows password
     * @return
     */
    public LdapContext connectLdap(String account, String password) {
        Hashtable<String, String> env = getLdapEnvironmentConfig(account, password);

        LdapContext context = null;

        try {
            context = new InitialLdapContext(env, null);
        } catch (NamingException e) {
            // TODO Auto-generated catch block
            // 连接失败日志打印
            e.printStackTrace();
        }

        return context;
    }

    /**
     * 获取LDAP环境配置
     * @param account
     * @param password
     * @return
     */
    private Hashtable<String, String> getLdapEnvironmentConfig(String account, String password) {
        Hashtable<String, String> env = new Hashtable<String, String>();
        env.put(Context.INITIAL_CONTEXT_FACTORY, LDAP_FACTORY);
        // LDAP server
        env.put(Context.PROVIDER_URL, LDAP_URL);
        env.put(Context.SECURITY_AUTHENTICATION, "simple");
        env.put(Context.SECURITY_PRINCIPAL, account);
        env.put(Context.SECURITY_CREDENTIALS, password);
        env.put("java.naming.referral", "follow");

        return env;
    }
}

着重说明:用户名不只是登录Windows的帐号,而是要加上@…

BarackHusseinObama
关注
专栏目录
Spring Boot框架原理及应用详解(三)
凛鼕将至的博客
06-19 748
Spring Boot是一个基于Spring框架的开源项目,旨在通过约定大于配置的原则来简化Spring应用的初始搭建以及开发过程。它通过使用特定的方式进行配置,减少了样板化的配置,使开发人员能够更专注于业务逻辑的实现。 本文将跟随《Spring Boot框架的原理及应用详解(二)》的进度,继续介绍Spring Boot框架。希望通过本系列文章的学习,您将能够更好地理解Spring Boot框架的内部工作原理,掌握Spring Boot框架的使用技巧,以及
springboot的ldapTemplate访问openldap完整demo
yaoayao123的博客
03-14 2302
集成中遇到的难题 1.网上关于openldap基础知识和概念的文章还是很多的,有的也写的非常好.但是认识一个事物的顺序应该是从具体到抽象,所有网上的大部分关于基础知识和概念的文章我看得都是云里雾里 2.springboot 集成spring-boot-starter-data-ldap后,用LdapTemplate 访问ldap确实也很简单,但是一般的文章也只有代码,并没有说明怎么搭建openldap服务(公司产品以前没有用到过ldap,所有我需要搭建ldap服务器) 3.ldap的产品很多,一般市面上用的
Spring+LDAP实现单点登录
07-12
去掉JAR包了。Spring+LDAP实现单点登录SSO 单点登录 LDAP SPRING
Spring LDAP 实践教程(一)
最新发布
龙哥盟
08-20 894
原文:Practical Spring LDAP 协议:CC BY-NC-SA 4.0 零、简介 实用的 Spring LDAP 提供了 Spring LDAP 的完整覆盖,这是一个旨在减轻 LDAP 编程之苦的框架。这本书首先解释 LDAP 的基本概念,并向读者展示如何设置开发环境。然后深入到 Spring LDAP,分析它要解决问题。在那之后,这本书将重点放在单元测试和集成测试 LDAP 代码的实践方面。接下来是对 LDAP 控件和新的 Spring LDAP 1.3.1 特性的深入研究,比如对象
Spring ldap登陆
咖啡堂
08-18 248
public class PersonDaoImpl implements PersonDao { private LdapTemplate ldapTemplate; public static void main(String[] args) { ApplicationContext cxt = new ClassPathXmlApplicationContext( ...
【总结】Spring LDAP整理
angelbill3的专栏
08-29 719
如果要总结SpringLDAPSpring开发的操作LDAP的开源Jar),必须要从LDAP说起。 LDAP:Lightweight Directory Access Protocol,翻译过来是轻量级目录访问协议。 它是基于X.500标准的(X.500:构成全球分布式名录系统的协议),说的这么抽象基本上理解不了,只需要知道是一种协议,以目录的形式(结构树)来管理资原(用户、用户组、地...
【人在运维囧途_13】由LDAP服务器无法登陆来谈谈分析问题的思路
数据库
04-22 190
今天监控报障,LDAP某个机房部分机器无法登陆 过去看了一下,总结一下思考路径:㈠ 定位问题、确定问题范围 LDAP无法登陆,本地账户可以登陆,说明ssh认证本身ok,应该是LDAP服务器连接有问题 strace id xx,的确连接LDAP服务器报错 telnet LDAP服务器端口不通 同一机房里面部分正常服务器OK ㈡ 从变更角度来看问题 ...
Spring Security Ldap 登录认证实现
gelong_bokewang的博客
04-24 1794
springboot + security + ldap 实现登录认证逻辑
JAVA实现:使用sAMAccountName作为登录名通过LDAP目录库验证
热门推荐
Jinn Guo - Oracle ERP Consulting
09-08 1万+
(转载请注明出处为本博客)  (2-2009至6-2009)要做一套对项目开发、跟踪、管理、多服务器同步备份的系统集成。主要结合svn、apache、tomcat、bugzilla、sendmail、openSSL、LDAP这些开源优秀软件在ubuntu下实现。其中涉及到JAVA EE的WEB开发,EMAIL、NDS应用模块的配置和结合,数据加密,项目管理过程设计,SVN数据的备份与恢复等
Web渗透(九)LDAP注入
weixin_39157582的博客
09-21 2564
LDAP注入
Spring Boot
qq_44005434的博客
03-17 821
springboot
Spring Boot 连接LDAP的方法
08-28
主要介绍了Spring Boot 连接LDAP的方法,仅仅涉及基本的使用ODM来快速实现LDAP增删改查操作。具有一定的参考价值,有兴趣的可以了解一下
CAS单点登录 v5.3.x:CAS与Spring Security的整合
CAS(Central Authentication Service)是一种用于单点登录的认证协议和框架,它提供了一种分布式的身份验证系统,允许用户使用一组凭据进行认证,并使用该凭据在多个应用程序中进行访问。CAS通过将用户身份验证和...
安全登录--Springboot使用Rsa加密及Ldap进行登录认证
qq_51785096的博客
10-29 1127
注册登录一直都是工程师做系统的必经之路,毕竟这个功能相对与业务较复杂的代码来说是比较简单的。 当然,最简单的事情往往最容易出错,最为普通的注册登录就是将用户名及密码存入数据库,在用户登录时,将两者进行比对来校验是否登录成功。 此篇文档则会介绍非对称加密及Ad域认证两种登录方式
LDAP配置成功,账号不能登陆,密码不对问题
max_hello的博客
06-05 9301
用户过滤里边填写如下: 用户过滤:(&(|(sAMAccountName={login})(userPrincipalName={login}))) ; sAMAccountName:代表用户名,userPrincipalName:域账号;
Spring Security Ldap 登录认证流程的源码梳理
gelong_bokewang的博客
04-25 1673
Spring Security Ldap登录认证流程源码分析
使用 Spring Security LDAP 实现身份验证
江帅帅
08-18 1056
在本文中,我们涵盖了“使用 Spring Boot 的 Spring Security LDAP 身份验证示例”的所有理论和示例部分。最后,您应该能够实现 Spring Security LDAP 身份验证。同样,您也可以根据自己的要求进一步扩展此示例。也尝试在您的项目中相应地实现它。
springLdap 操作ldap示例(增删改查)
记事本
06-26 6366
在看这个文章之前,最好是了解了openldap的schema文件,也就是了解objectClass和attribute以及它们的关系。否则很容易不了解代码的含义以及抛出的异常。 实体类: [java] view plaincopy package ldap.entity;      /**   * 本测试类person对象来自sche
服务器登录账号不能切换,切换LDAP服务器后用户无法登陆
weixin_33914255的博客
08-01 831
[简述你的问题]在Web界面更改ldap配置后,除了LDAP地址外,其它参数配置不生效,造成用户无法登陆使用版本[请提供你使用的Jumpserver版本 1.x.x 注: 0.3.x不再提供支持]1.4.4系统是CentOS7.5Python 3.6.7问题复现步骤1.我们早期使用的是自建的openldap服务器,配置参数如下LDAP地址:ldap://10.xx.xx.xxx:389绑定DN:u...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值