LDAP身份验证是全球范围内最流行的企业应用程序身份验证机制之一，而Active Directory （Microsoft针对Windows的LDAP实现）是另一种广泛使用的LDAP服务器。 在许多项目中，我们需要通过登录屏幕中提供的凭据使用LDAP对活动目录进行身份验证 。 有时，由于实现和集成过程中会遇到各种问题， 并且没有进行LDAP身份验证的标准方法，因此此简单任务会变得棘手。 Java提供了LDAP支持，但是在本文中，我将主要讨论spring安全性，因为它是我首选的Java框架，用于进行身份验证，授权和安全性相关的工作。

我们可以通过编写用于执行LDAP搜索然后进行LDAP绑定的自有程序来在Java中执行相同的操作，但是正如我所说的，当您使用Spring Security进行LDAP身份验证时，它更容易，更简洁。

除了LDAP支持外，Spring Security还提供了企业Java应用程序所需的其他一些功能，包括SSL安全性，密码加密和会话超时功能。

1. LDAP认证基础

在深入了解Active Directory上的LDAP身份验证之前，让我们熟悉一些LDAP术语，因为大多数时候用户是第一次使用它，并且他们对典型的LDAP词汇表（例如Dn，Ou，Bind或search等）不太熟悉。
Dn –专有名称 ，唯一名称，用于在LDAP服务器（例如Microsoft Active Directory）中查找用户。
OU –组织单位 绑定– LDAP绑定是一种操作，其中LDAP客户端将bindRequest发送给包括用户名和密码在内的LDAP用户，如果LDAP服务器能够正确找到用户名和密码，则它允许访问LDAP服务器。 搜索– LDAP搜索是通过使用某些用户凭证来检索用户的Dn的操作。 根 – LDAP目录的顶部元素，例如树的根。 BaseDn – LDAP树中的一个分支，可用作LDAP搜索操作的基础，例如dc = Microsoft，dc = org

如果您想了解有关LDAP的更多信息，请查看此链接，其中包含有关LDAP的详细信息。

2. Active Directory Spring Security中的LDAP身份验证

在Spring安全性中，有两种方法可以使用LDAP协议来实现活动目录身份验证，第一种是编程和声明性方法，需要一些编码和一些配置。

另一方面，第二种方法是Spring Security提供的即用型解决方案，只需要配置ActireDirectoryAuthenticationProvider即可完成。 我们将看到两种方法，但是我建议使用第二种方法，因为第二种方法简单易用。

2.1在Spring Security中使用LDAP进行Active Directory身份验证-示例1

组态
将以下配置添加到您的spring application-context.xml文件中，我建议将此配置与其他与安全相关的内容一起放在单独的application-context-security.XML文件中。
1）配置LDAP服务器 为了配置LDAP服务器，请将以下XML代码段放入Spring安全配置文件中：

<s:ldap-server url="ldap://stockmarket.com"   //ldap urlport="389"                    //ldap portmanager-dn="serviceAcctount@sotckmarket.com" //manager usernamemanager-password="AD83DgsSe"                 //manager password
/>

此配置是不言自明的，但是有关管理器dn和密码， 活动目录或任何其他LDAP目录上的LDAP身份验证的简短说明仅需两步，首先需要执行LDAP搜索以找到用户的Dn（专有名称），然后进行LDAP搜索。然后此Dn用于执行LDAP绑定。

如果绑定成功，则用户身份验证成功，否则它将失败。 有些人比LDAP绑定更喜欢密码的远程比较 ，但是LDAP绑定是您最不希望做的事情。

Active Directory的大部分内容都不允许匿名搜索操作，因此要执行LDAP搜索，您的服务必须具有LDAP帐户，这是我们在此提供的manager-in和manager-password.property。
在Summary中 ，现在将通过以下步骤完成LDAP登录：

1. 您的服务或应用程序使用manager-dn和manager-password将自身与LDAP绑定。
2. LDAP搜索用户以找到UserDn
3. 使用UserDn进行LDAP绑定

到此完成了LDAP登录部分。 现在，让我们进入配置LDAP身份验证提供程序的下一部分。
2）配置LDAP身份验证提供程序
本节在spring-security中指定了各种身份验证提供程序，在这里您可以看到LDAP身份验证提供程序，并且我们使用userPrincipalName在Microsoft Active目录中搜索用户。

<s:authentication-manager erase-credentials="true">
<s:ldap-authentication-provideruser-search-base="dc=stockmarketindia,dc=trader"user-search-filter="userPrincipalName={0}"
/><s:authentication-provider ref="springOutOfBoxActiveDirecotryAuthenticationProvider"/>
</s:authentication-manager>

现在需要一小段编码来传递userPrincipalName并验证用户。

public boolean login(String username, String password) {AndFilter filter = new AndFilter();ldapTemplate.setIgnorePartialResultException(true); // Active Directory doesn’t transparently handle referrals. This fixes that.filter.and(new EqualsFilter("userPrincipalName", username));return ldapTemplate.authenticate("dc=stockmarketindia,dc=trader", filter.toString(), password);}

第2行在该程序中非常重要，因为我整日都在弄清楚应用程序何时反复抛出javax.naming.PartialResultException：未处理的连续引用，您也可以将sAMAccountName用于搜索用户， userPrincipalName和sAMAccountName都是唯一的在Active Directory中。

这里最重要的是它必须是全名，例如name @ domain，例如jimmy@stockmarket.com。

authenticate()方法将根据绑定操作的结果返回true或false。

2.2在Spring Security中使用LDAP的Active Directory身份验证-更简单的示例

第二种方法更简单，更清洁，因为它是开箱即用的，您只需要配置LDAP服务器URL和域名即可使用，就像奶油一样。

<s:authentication-manager erase-credentials="true"><s:authentication-provider ref="ldapActiveDirectoryAuthProvider"/>
</s:authentication-manager><bean id="ldapActiveDirectoryAuthProvider" 
class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider"><constructor-arg value="stockmarket.com" />  //your domain<constructor-arg value="ldap://stockmarket.com/" />  //ldap url
</bean>

就这样，完成了。 此配置将对LDAP进行身份验证并加载所有授予的权限 ，就像您所属的组一样。 这也与spring安全登录元素集成在一起。

2.3依赖

这个示例基于spring security 3.0，我使用的是spring-ldap-1.3.1.RELEASE-all.jar和spring-security-ldap-3.1.0.RC3.jar。

如果您不知道如何下载Spring框架JAR文件，请按照此Spring Framework JAR下载指南中给出的步骤进行操作，该指南说明了如何从Maven Central下载Spring框架和其他相关JAR。

2.4 LDAP身份验证期间的错误

您需要非常幸运地完成针对Active Directory的LDAP身份验证而没有任何错误或异常，在这里，我列出了我遇到的一些常见错误及其解决方案，以便快速参考。
1）javax.naming.PartialResultException：未处理的连续引用； 剩余名称'dc = company，dc = com'
发生此错误是因为Microsoft Active Directory无法正确处理引用，并且要解决此问题，请设置此属性

ldapTemplate.setIgnorePartialResultException(true);

2）javax.naming.NameNotFoundException：[LDAP：错误代码32 – No Such Object]； 剩余的名字”
该错误经过反复尝试后得以解决，并且主要是由于用户名格式无效造成的 。 它通过提供全名来解决，例如jemmy@stockmarket.com

2.5工具

LDAP浏览器 ：最好使用一些工具来查看LDAP目录中的数据，它可以为您提供一些可见性以及浏览LDAP中数据的方法。

它被称为LDAP浏览器，网络上有很多开源的LDAP浏览器，例如jexplorer。 您可以使用LDAP浏览器浏览和查看Active Directory中的数据。

2.6通过SSL的LDAP Active Directory身份验证

这非常适合对Microsoft活动目录实施LDAP身份验证。 但是您可能要引起注意的一件事是，使用LDAP用户名和密码以明文形式传输到LDAP服务器，并且有权访问LDAP流量的任何人都可以嗅探用户凭据，因此并不安全。

一种解决方案是使用LDAP（基于SSL的LDAP）协议，该协议将加密LDAP客户端和服务器之间的流量。

在spring-security中，这很容易做到，您需要更改的是URL而不是“ ldap：//stockmarket.com/ ”，您需要使用“” ldaps：//stockmarket.com/ 。 实际上， LDAP的端口是339 ，LDAPS 的端口 是636，但是第二种方法在Spring已得到注意，在第一种方法中，您需要提供此信息。

您可能会遇到的问题是“无法找到到所请求目标的有效认证路径”

异常如下图所示：

javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

此异常的原因很简单， 在SSL握手期间返回的证书 不由在您的JRE密钥中配置的任何受信任的证书颁发机构（CA） 签名，例如Verisign，Thwate，GoDaddy或entrust等。相反，服务器发送的证书是JRE不知道。

要解决此问题，您需要将Server返回的证书添加到JRE的密钥库中。 顺便说一句，如果您对密钥库和信任库感到困惑，那么请阅读我在Java中关于密钥库和信任库之间的区别的文章，以首先了解它。

2. 7我为解决问题所做的工作

毫不奇怪，我使用了一个名为InstallCert.java的开源程序，它仅与您的LDAP服务器和端口一起运行，它将尝试使用SSL连接LDAP服务器，并首先抛出相同的“ PKIX路径构建失败” ，然后抛出LDAP服务器返回的证书。

然后它将要求您将证书添加到密钥库中，只需提供屏幕上显示的证书编号，然后将那些证书添加到C：\ Program Files \ Java \ jdk1.6.0 \ jre \ lib \ security文件夹中的“ jssecacerts ”中。 现在重新运行该程序，该错误必须消失，并且将打印：

"Loading KeyStore jssecacerts...Opening connection to stockmarket.com:636...Starting SSL handshake...No errors, the certificate is already trusted

我们已经完成了，现在，如果您尝试通过LDAPS进行身份验证，您将成功。

即使没有Spring安全性，也可以使用Java 对活动目录执行LDAP认证的其他方法。 但是我发现spring-security非常有用，因此请考虑将其用于您的安全性要求。 如果您在LDAP登录期间遇到任何问题，请告诉我，我们将尽力为您提供帮助。

翻译自: https://www.javacodegeeks.com/2018/04/2-ways-to-setup-ldap-active-directory-authentication-in-java-spring-security-example-tutorial.html