LDAP簡介

LDAP(輕量級目錄訪問協議，Lightweight Directory Access Protocol)是實現提供被稱為目錄服務的信息服務。目錄服務是一種特殊的數據庫系統，其專門針對讀取，瀏覽和搜索操作進行了特定的優化。目錄一般用來包含描述性的，基于屬性的信息并支持精細復雜的過濾能力。目錄一般不支持通用數據庫針對大量更新操作操作需要的復雜的事務管理或回卷策略。而目錄服務的更新則一般都非常簡單。這種目錄可以存儲包括個人信息、web鏈結、jpeg圖像等各種信息。為了訪問存儲在目錄中的信息，就需要使用運行在TCP/IP 之上的訪問協議—LDAP。

LDAP目錄中的信息是是按照樹型結構組織，具體信息存儲在條目(entry)的數據結構中。條目相當于關系數據庫中表的記錄；條目是具有區別名DN (Distinguished Name)的屬性(Attribute)，DN是用來引用條目的，DN相當于關系數據庫表中的關鍵字(Primary Key)。屬性由類型(Type)和一個或多個值(Values)組成，相當于關系數據庫中的字段(Field)由字段名和數據類型組成，只是為了方便檢索的需要，LDAP中的Type可以有多個Value，而不是關系數據庫中為降低數據的冗余性要求實現的各個域必須是不相關的。LDAP中條目的組織一般按照地理位置和組織關系進行組織，非常的直觀。LDAP把數據存放在文件中，為提高效率可以使用基于索引的文件數據庫，而不是關系數據庫。類型的一個例子就是mail，其值將是一個電子郵件地址。

LDAP的信息是以樹型結構存儲的，在樹根一般定義國家(c=CN)或域名(dc=com)，在其下則往往定義一個或多個組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個組織單元可能包含諸如所有雇員、大樓內的所有打印機等信息。此外，LDAP支持對條目能夠和必須支持哪些屬性進行控制，這是有一個特殊的稱為對象類別(objectClass)的屬性來實現的。該屬性的值決定了該條目必須遵循的一些規則，其規定了該條目能夠及至少應該包含哪些屬性。例如：inetorgPerson對象類需要支持sn(surname)和cn(common name)屬性，但也可以包含可選的如郵件，電話號碼等屬性。

LDAP簡稱對應

• o：organization(組織-公司)
• ou：organization unit(組織單元-部門)
• c：countryName(國家)
• dc：domainComponent(域名)
• sn：surname(姓氏)
• cn：common name(常用名稱)

以上內容參考自：LDAP快速入門

入門示例

在了解了LDAP的基礎概念之后，我們通過一個簡單例子進一步理解！

• 創建一個基礎的Spring Boot項目(如果您還不會，可以參考這兩篇文章：入門1或入門2)
• 在pom.xml中引入兩個重要依賴

其中，spring-boot-starter-data-ldap是Spring Boot封裝的對LDAP自動化配置的實現，它是基于spring-data-ldap來對LDAP服務端進行具體操作的。

而unboundid-ldapsdk主要是為了在這里使用嵌入式的LDAP服務端來進行測試操作，所以scope設置為了test，實際應用中，我們通常會連接真實的、獨立部署的LDAP服務器，所以不需要此項依賴。

• 在src/test/resources目錄下創建ldap-server.ldif文件，用來存儲LDAP服務端的基礎數據，以備后面的程序訪問之用。

這里創建了一個基礎用戶，真實姓名為zhaiyongchao,常用名didi，在后面的程序中，我們會來讀取這些信息。更多內容解釋大家可以深入學習LDAP來理解，這里不做過多的講解。

• 在application.properties中添加嵌入式LDAP的配置

• 使用spring-data-ldap的基礎用法，定義LDAP中屬性與我們Java中定義實體的關系映射以及對應的Repository

通過上面的定義之后，已經將Person對象與LDAP存儲內容實現了映射，我們只需要使用PersonRepository就可以輕松的對LDAP內容實現讀寫。

• 創建單元測試用例讀取所有用戶信息：

啟動該測試用例之后，我們可以看到控制臺中輸出了剛才維護在ldap-server.ldif中的用戶信息：

2018-01-27 14:25:06.283 WARN 73630 --- [ main] o.s.ldap.odm.core.impl.ObjectMetaData : The Entry class Person should be declared finalPerson(id=uid=ben,ou=people,dc=didispace,dc=com, uid=ben, commonName=didi, suerName=zhaiyongchao, userPassword=123,83,72,65,125,110,70,67,101,98,87,106,120,102,97,76,98,72,72,71,49,81,107,53,85,85,52,116,114,98,118,81,61)

添加用戶

通過上面的入門示例，如果您能夠獨立完成，那么在Spring Boot中操作LDAP的基礎目標已經完成了。

如果您足夠了解Spring Data，其實不難想到，這個在其下的子項目必然也遵守Repsitory的抽象。所以，我們可以使用上面定義的PersonRepository來輕松實現操作，比如下面的代碼就可以方便的往LDAP中添加用戶：

如果還想實現更多操作，您可以參考spring-data-ldap的文檔來進行使用。

連接LDAP服務端

在本文的例子中都采用了嵌入式的LDAP服務器，事實上這種方式也僅限于我們本地測試開發使用，真實環境下LDAP服務端必然是獨立部署的。

在Spring Boot的封裝下，我們只需要配置下面這些參數就能將上面的例子連接到遠端的LDAP而不是嵌入式的LDAP。