【Spring】官网教程阅读笔记（四）：使用LDAP对用户鉴权

【前言】再接再厉，LDAP鉴权或许能用到。本文给了两个application作为参照，第一个是普通的webApplication，没有用户鉴权，第二个有用户鉴权。如果看过第一篇，可以直接跳到第二个application中学习。原文链接http://spring.io/guides/gs/authenticating-ldap/

【实现目标】你在这里将创建一个web应用，该应用使用Spring内置安全模块：基于Java的LDAP服务。你将加载LDAP服务管理一个包含一个用户集合的数据文件。

【准备工作】pom.xml 中的dependencies和第一篇一样

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>

创建一个简单的web控制器

Spring中，REST节点只是一个MVC控制器Controller。下面的控制器处理GET /目录的请求，并且返回一个简单的信息，还记得第一章的注解@RESTController和@RequestMapping么？还有@RequestParameter这里就不用了。

package hello;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HomeController {

    @RequestMapping("/")
    public String index() {
        return "Welcome to the home page!";
    }
}

这一次没返回Json，而只是一个String。

整个类由注解@RESTController标注，此时Spring MVC可以通过内建扫描机制自动检测到控制器，并自动配置web页路由(指web跳转)。@RequestMapping注解标注的方法绑定了REST的action。在本例中，GET方法到/目录被绑定到index()方法来处理。这个方法返回一个String信息表明你访问到了home页。

@RESTController注解也会告知Spring MVC框架将文本直接写入HTTP应答报文当中，因为这里没有任何视图(View)。此时，当你访问/页面的时候，你会在浏览器上得到一个简短的信息，因为本文聚焦在LDAP的使用。

创建一个不安全的web应用

在着手做安全的web应用之前，为了能确认他确实安全，我们先建一个不安全的web应用作参照物。这里需要建几个key bean。先把应用建起来。

package hello;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

}

@SpringBootApplic注解我们已经见过3次了。SpringApplication.run()方法也有2次了，他们的功能不说了。

Build并执行JAR

和以前一样

设置Spring安全机制

设置安全机制要先增加几个dependency到build当中。按maven的pom.xml配置来说，在原来的<dependencies>中增加下面几个

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-ldap</artifactId>
    </dependency>
    <dependency>
        <groupId>org.apache.directory.server</groupId>
        <artifactId>apacheds-server-jndi</artifactId>
        <version>1.5.5</version>
    </dependency>

坑爹的教程，一次不说完。反正加好之后就可以做纯java的配置类了

package hello;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.authentication.configurers.GlobalAuthenticationConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.servlet.configuration.EnableWebMvcSecurity;

@Configuration
@EnableWebMvcSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
			.authorizeRequests()
				.antMatchers("/css/**").permitAll()
				.anyRequest().fullyAuthenticated()
				.and()
			.formLogin();
	}

	@Configuration
	protected static class AuthenticationConfiguration extends
			GlobalAuthenticationConfigurerAdapter {

		@Override
		public void init(AuthenticationManagerBuilder auth) throws Exception {
			auth
				.ldapAuthentication()
					.userDnPatterns("uid={0},ou=people")
					.groupSearchBase("ou=groups")
					.contextSource().ldif("classpath:test-server.ldif");
		}
	}
}

注解@EnableWebSecurity为需要安全验证的bean打开Spring 安全验证功能。你还需要一个LDAP服务，Spring内置LDAP模块包含了这样一个用纯Java实现的服务，我们在这里用到了它（ldapAuthentication() ）。ldapAuthentication()方法把form表单中的username置为{0}，这样框架就在LDAP服务中按 uid={0},ou=people,dc=springframework,dc=org 搜索。

设置用户数据

LDAP服务可以使用LDIF(LDAP数据交换格式)文件来交换用户数据。WebSecurityConfig类中的ldif()方法可以导入一个LDIF数据文件。这样可以很方便的加载验证数据。

src/main/resources/test-server.ldif

（为了节省空间，该文件略过，可以查看原文）

LDIF对一个产品级系统来说并非标准配置，然而作为测试或者样例还是不错的选择。

应用类还是一样的代码

Build并执行JAR

Build步骤并没有变化

执行的时候， 会重定向到Login页面，然后输入username和password，比如ben和benpassword，最后得到应答welcom to the home page!

【小结】

原文中说的并不详细，实际上WebSecurityConfig类的实现有好多东西需要解释：

• 注解@Configuration 可以参照文档http://docs.spring.io/spring/docs/current/spring-framework-reference/htmlsingle/#beans-java-basic-concepts 。一个带@Configuration注解的类表明：他的主要目的是用来定义bean。进一步，@Configuration注解类允许内置bean依赖策略，这些策略由同类中调用其他@bean方法定义。最简单的@Configuration类看起来可能是这样：

@Configuration
public class AppConfig {

    @Bean
    public MyService myService() {
        return new MyServiceImpl();
    }

}

他的作用就是绑定接口MyService的实现类MyServiceImpl。就好比配置文件中这么写

<beans>
    <bean id="myService" class="com.acme.services.MyServiceImpl"/>
</beans>

不过本文中的@Configuration里面表明上并没有标注一个@Bean是怎么回事？这是因为@Bean在抽象类

WebSecurityConfigurerAdapter当中，一个是接口UserDetailsService，一个是接口AuthenticationManager

• 注解@EnableWebMvcSecurity 。给@Configuration类添加这个注解，使得该类以Spring安全模式集成在Spring MVC当中。

• 抽象类WebSecurityConfigurerAdapter提供WebSecurityCOnfigure功能。
• 在本例中覆盖了方法   void configure(HttpSecurity http)。之后调用的几个方法，他们的含义分别是：authorizeRequests()对HttpServletRequest做访问限制；antMatchers()是一个HTTPMethod匹配器，"\**"或者"**"表示匹配任意请求格式，而/aaa/**将匹配/aaa或者/aaa/，在本例当中匹配了/css或/css/的URL；permitAll()运行任何用户访问该URL；anyRequest()任意HTTP请求类型；fullyAuthenticated()对有权限用户开放，并且对鉴权信息是无记忆的；and()且；formLogin()警察叔叔，就是他生成了Login的form表单！如果想自定义Login，需要使FormLoginCOnfigurer.loginPage(String)。
• 内部类AuthenticationConfiguration中的方法init()也说一下。ldapAuthentication()方法增加ldap功能；userDnPatterns()从LDIF文件中直接定位参数；groupSearchBase()按组搜索；contextSource()使用简单的内置LDAP服务；ldif()用指定的ldif文件加载到内置LDAP服务中。
  

【疑问】如何生成LDIF文件呢？