Apache Shiro 简介（3）

look_w

用 LDAP 进行身份验证LDAP 是用来在 TCP/IP 上查询目录的一种协议。这些目录可保存有关用户的任意数量的信息，包括用户 ID、联系信息以及组成员等。LDAP 目录对于公司的通讯簿很有用并被广泛使用。               
AD DS 是一种用于用户和组管理的常见目录，它支持 LDAP。                        Shiro 不包含通用的 LDAP 安全域，但它却包含了一个                         ActiveDirectoryRealm 对象，允许针对 LDAP 进行用户的身份验证。本例使用了在 INI 文件内配置的                          ActiveDirectoryRealm 对象来验证用户的身份。虽然 AD DS 与 LDAP 不同，但本文中使用的 Shiro 的这个版本并没有自带通用的 LDAP 对象。               
让一个 LDAP 服务器来测试本例要比编写并运行示例本身需要更多工作。如果您不能访问一个                        AD DS 服务器，那么可以考虑下载并安装 Apache Directory 来提供一个 LDAP 服务器的样例实现。Apache Directory 是用 Java语言编写的。同样地，Apache Active Directory Studio 是一个 Eclipse 插件，可用来浏览 LDAP 数据。它还具有一些样例数据，为您提供了一种快捷方式来针对已知值编写代码，而又无需疑惑您遇到的问题是代码问题还是数据问题。               
显示了用来对存储在 Apache Directory 内的一个用户进行身份验证所需的代码。               
清单 5. 使用 LDAP 进行身份验证

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

// snipped... public class ShiroLDAPTest {     private static Logger logger = LoggerFactory.getLogger(ShiroLDAPTest.class);     /**      * @param args      */     public static void main(String[] args) {         // Using the IniSecurityManagerFactory, which will use the an INI file         // as the security file.         Factory<org.apache.shiro.mgt.SecurityManager> factory =             new IniSecurityManagerFactory("actived.ini");         // Setting up the SecurityManager...         org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();         SecurityUtils.setSecurityManager(securityManager);         Subject user = SecurityUtils.getSubject();         logger.info("User is authenticated:  " + user.isAuthenticated());         UsernamePasswordToken token =         new UsernamePasswordToken(             "cn=Cornelius Buckley,ou=people,o=sevenSeas", "argh");         user.login(token);         logger.info("User is authenticated:  " + user.isAuthenticated());     } }

除了 INI 文件名和用户名及密码之外，代码与之前用 INI 文件内的记录进行身份验证的代码相同。这种类似性的出现是因为您可以使用 INI 文件来配置 Shiro。用来设置 Shiro 针对 Apache Directory 进行身份验证的这些 INI 记录如  所示。               
清单 6. actived.ini 文件

1 2 3 4 5 6

[main] activeDirectoryRealm = org.apache.shiro.realm.activedirectory.ActiveDirectoryRealm activeDirectoryRealm.systemUsername = uid=admin,ou=system activeDirectoryRealm.systemPassword = secret activeDirectoryRealm.searchBase = o=sevenSeas,ou=people activeDirectoryRealm.url = ldap://localhost:10389

注意： 我使用 Apache Directory Studio 来将用户的密码更改为一个能放入测试代码以确保它工作的值。