Spring Boot中使用LDAP來統一管理用戶信息
很多時候,我們在構建系統的時候都會自己創建用戶管理體系,這對於開發人員來說並不是什麼難事,但是當我們需要維護多個不同系統並且相同用戶跨系統使用的情況下,如果每個系統維護自己的用戶信息,那麼此時用戶信息的同步就會變的比較麻煩,對於用戶自身來說也會非常困擾,很容易出現不同系統密碼不一致啊等情況出現。如果此時我們引入LDAP來集中存儲用戶的基本信息並提供統一的讀寫介面和校驗機制,那麼這樣的問題就比較容易解決了。下面就來說說當我們使用Spring Boot開發的時候,如何來訪問LDAP服務端。
LDAP簡介
LDAP(輕量級目錄訪問協議,Lightweight Directory Access Protocol)是實現提供被稱為目錄服務的信息服務。目錄服務是一種特殊的資料庫系統,其專門針對讀取,瀏覽和搜索操作進行了特定的優化。目錄一般用來包含描述性的,基於屬性的信息並支持精細複雜的過濾能力。目錄一般不支持通用資料庫針對大量更新操作操作需要的複雜的事務管理或回卷策略。而目錄服務的更新則一般都非常簡單。這種目錄可以存儲包括個人信息、web鏈結、jpeg圖像等各種信息。為了訪問存儲在目錄中的信息,就需要使用運行在TCP/IP 之上的訪問協議—LDAP。
LDAP目錄中的信息是是按照樹型結構組織,具體信息存儲在條目(entry)的數據結構中。條目相當於關係資料庫中表的記錄;條目是具有區別名DN (Distinguished Name)的屬性(Attribute),DN是用來引用條目的,DN相當於關係資料庫表中的關鍵字(Primary Key)。屬性由類型(Type)和一個或多個值(Values)組成,相當於關係資料庫中的欄位(Field)由欄位名和數據類型組成,只是為了方便檢索的需要,LDAP中的Type可以有多個Value,而不是關係資料庫中為降低數據的冗餘性要求實現的各個域必須是不相關的。LDAP中條目的組織一般按照地理位置和組織關係進行組織,非常的直觀。LDAP把數據存放在文件中,為提高效率可以使用基於索引的文件資料庫,而不是關係資料庫。類型的一個例子就是mail,其值將是一個電子郵件地址。
LDAP的信息是以樹型結構存儲的,在樹根一般定義國家(c=CN)或域名(dc=com),在其下則往往定義一個或多個組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個組織單元可能包含諸如所有僱員、大樓內的所有印表機等信息。此外,LDAP支持對條目能夠和必須支持哪些屬性進行控制,這是有一個特殊的稱為對象類別(objectClass)的屬性來實現的。該屬性的值決定了該條目必須遵循的一些規則,其規定了該條目能夠及至少應該包含哪些屬性。例如:inetorgPerson對象類需要支持sn(surname)和cn(common name)屬性,但也可以包含可選的如郵件,電話號碼等屬性。
LDAP簡稱對應
以上內容參考自:LDAP快速入門
入門示例
在了解了LDAP的基礎概念之後,我們通過一個簡單例子進一步理解!
其中, 是Spring Boot封裝的對LDAP自動化配置的實現,它是基於spring-data-ldap來對LDAP服務端進行具體操作的。
而 主要是為了在這裡使用嵌入式的LDAP服務端來進行測試操作,所以 設置為了test,實際應用中,我們通常會連接真實的、獨立部署的LDAP伺服器,所以不需要此項依賴。
這裡創建了一個基礎用戶,真實姓名為 ,常用名 ,在後面的程序中,我們會來讀取這些信息。更多內容解釋大家可以深入學習LDAP來理解,這裡不做過多的講解。
通過上面的定義之後,已經將Person對象與LDAP存儲內容實現了映射,我們只需要使用 就可以輕鬆的對LDAP內容實現讀寫。
啟動該測試用例之後,我們可以看到控制台中輸出了剛才維護在 中的用戶信息:
添加用戶
通過上面的入門示例,如果您能夠獨立完成,那麼在Spring Boot中操作LDAP的基礎目標已經完成了。
如果您足夠了解Spring Data,其實不難想到,這個在其下的子項目必然也遵守Repsitory的抽象。所以,我們可以使用上面定義的 來輕鬆實現操作,比如下面的代碼就可以方便的往LDAP中添加用戶:
如果還想實現更多操作,您可以參考spring-data-ldap的文檔來進行使用。
連接LDAP服務端
在本文的例子中都採用了嵌入式的LDAP伺服器,事實上這種方式也僅限於我們本地測試開發使用,真實環境下LDAP服務端必然是獨立部署的。
在Spring Boot的封裝下,我們只需要配置下面這些參數就能將上面的例子連接到遠端的LDAP而不是嵌入式的LDAP。
本文代碼
可以通過下面兩個倉庫中查閱 目錄:
TAG:程序猿DD |