LDAP( Lightweight Directory Access Protocol) 轻量目录访问协议,LDAP目录以树状的层次结构来存储数据。
相关术语:DN :Distinguished Name区分名,一条记录的唯一标识(路径)
CN:Common Name 登陆名,最长80个字符。
OU:Organization Unit 为组织单元,最多可以有四级,每级最长32个字符,可以为中文
实例:CN=李扬,OU=XXXX,OU=XXX,OU=XXX,DC=XXX,DC=com
LDAP java验证用户登陆名密码步骤。
一 使用jndi数据源连接LDAP服务器
二 根据用户名拼接具体的DN,在服务器查询具体的条目,
String filter; if(account.indexOf('@') != -1) { //通过邮箱全称来找 filter = "(mail=" + account + ")"; } else if(pattern.matcher(account).matches()) { //通过工号找 filter = "(Description=" + account + ")"; } else { //邮箱前缀 filter = "(SamAccountName=" + account + ")"; } SearchControls searchControls = new SearchControls(); //SearchControls 用来指定收索范围 //SearchControls.OBJECT_SCOPE = 0;表示收索命名对象 //SearchControls.ONELEVEL_SCOPE = 1 表示搜索一级命名对象 //SearchControls.SUBTREE_SCOPE=2 表示搜索以命名对象为根的整棵子树 searchControls.setSearchScope(SearchControls.SUBTREE_SCOPE); NamingEnumeration<SearchResult> answer = ctx.search("", filter, searchControls);
返回一个NamingEnumeration<SearchResult>,如果用户为空,表示用户不存在,由于DN是唯一的,所以只会返回该用户的信息。
// set up environment for creating initial context Hashtable<String, String> env = new Hashtable<>(); //导入提供者 env.put(Context.INITIAL_CONTEXT_FACTORY, LDAP_FACTORY); //服务器地址 env.put(Context.PROVIDER_URL, LDAP_URL + DC); //验证方式 env.put(Context.SECURITY_AUTHENTICATION, "simple"); //账户 env.put(Context.SECURITY_PRINCIPAL, mmcLogUser.getDistinguishedName()); //证书 env.put(Context.SECURITY_CREDENTIALS, password); DirContext context = new InitialDirContext(env); closeCtx(context);
三 由于LDAP不会返回用户的密码,所以返回的信息不包含用户的密码,所以需要把用户传进来的密码与DN绑定,重新到服务器去验证,如果密码不匹配,会抛出AuthenticationException 。