利用LDAP服务,使用Spring LDAP,Spring Security实现Web项目用户认证和简单的权限控制。实现多系统账号统一。

1、基于EHR的LDAP用户信息

LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。LDAP目录以树状的层次结构来存储数据。如果你对自顶向下的DNS树或UNIX文件的目录树比较熟悉,也就很容易掌LDAP目录树这个概念了。就象DNS的主机名那样,LDAP目录记录的标识名(Distinguished Name,简称DN)是用来读取单个记录,以及回溯到树的顶部

例如,DN: cn=ZH201506006,ou=大数据平台研发工程师,ou=大数据平台部,ou=技术中心,ou=职能,dc=openldap,dc=jw,dc=cn

LDAP中组织结构以及用户数据是从EHR系统中同步而来,

其中Group,记录各个角色下的用户成员

组织结构:

wKiom1kAXWPxD3Y0AAA9OGVudbI099.png


Group信息,AUTHORITY_SYSTEM_ADMIN下有一个member是cn=ZH201506006,ou=大数据平台研发工程师,ou=大数据平台部,ou=技术中心,ou=职能,dc=openldap,dc=jw,dc=cn

wKiom1kAXYeCbzdYAAAyhcUtKqs607.png


用户信息:

wKioL1kAXZ7yK-yBAABE_gLR_rE173.png-wh_50


2、实现基于LDAP用户认证


Web项目中实现基于LDAP认证,主要完成以下工作

  1. spring-security.xml,基于spring security的配置文件

  2. ldap.properties ,配置文件spring-security.xml中引用的常量

  3. MyAuthenticationProvider.java 自定义的用户认证类

  4. AuthoritiesPopulator.java 自定义权限组

代码以及注释参考:https://github.com/chocolateBlack/authority-spring-security


3、实现基于Spring Sentry权限控制


Web项目中实现基于Spring Sentry权限控制,主要完成以下工作

  1. 在spring-security.xml配置
    <global-method-security secured-annotations="enabled" pre-post-annotations="enabled" jsr250-annotations="enabled" />
    说明参考:https://vincentmi.gitbooks.io/spring-security-reference-zh/content/4.4_method_security.html

  2. 在spring-security.xml中配置

<http security="none" pattern="/login.jsp" />

<http auto-config="true">

<intercept-url pattern="/check" access="IS_AUTHENTICATED_ANONYMOUSLY"/>

<intercept-url pattern="/admin" access="ROLE_AUTHORITY_SYSTEM_ADMIN"/>

</http>

说明参考:https://vincentmi.gitbooks.io/spring-security-reference-zh/content/4.2_getting_started%20with_security_namespace_configuration.html