实施LDAP(Active Directory)身份验证的建议/指导

时间:2016-08-31 01:50:01

标签: ldap shiro spring-ldap

问题陈述:

我正在尝试构建一个需要身份验证和授权的自定义管理系统。 系统需要具有管理/创建/更新/删除用户,角色,权限和组的功能。

我的设计解决方案

我计划从头开始实施这项工作,并提供如下认证和授权。

身份验证:用户将提供其凭据,如果用户有效,系统将进行身份验证。

授权:一旦用户通过身份验证,基于用户组和权限,他们就可以访问站点上请求的页面。

问题:

现在,我的问题是假设我已成功构建此应用程序,并且将来我的应用程序需要LDAP(活动目录)身份验证,是否可以插入LDAP相关功能,保持我现有的应用程序完好无损或者我必须重新使用LDAP API编写整个或大多数应用程序。

我看过apache shiro和spring security 提供LDAP功能,它们还提供管理/创建/更新/删除用户的功能。

到目前为止,我还没有决定是否会选择其中任何一个或自己编写。

如果我能得到关于如何处理事情的详细回复,我将不胜感激。

注意: 我是LDAP的新手,所以如果我使用了一些关于LDAP的错误术语,请原谅。

2 个答案:

答案 0 :(得分:2)

我建议不要实现自己,只需与现有API集成。

披露:我的工作是Stormpath(正是这样)和Apache Shiro

此外,如果您的应用程序需要由LDAP支持,大多数 LDAP设置我在组合应用程序时只看到支持读取操作,因此您可能希望与LDAP管理员聊天并查看您是否管理'用户用例是可行的。

答案 1 :(得分:1)

安全是一个严重的领域,有许多隐藏的复杂因素。我肯定会建议你不要自己实施。既然你提到了Spring LDAP,我猜你是在一个基于Spring的项目中。这种设置中显而易见的选择是优秀的Spring Security项目。