使用Acegi保护Java应用程序，第2部分: 使用LDAP目录服务器 - 编程入门网

类似地，departments 节点包含该制造业企业的不同部门的数据 —— 例如 engineering 和 marketing 字节点。每个部门节点还包含一组或多组用户。在 图 1 中，engineers 组是 engineering 部门的子节点。

假设每个部门的子节点表示一组用户。因此，部门节点的子节点具有不同的 用户成员。例如，设计部门的所有工程师都是 engineering 部门内 engineers 组的成员。

最后，注意 图 1 中 departments 节点的最后一个子节点。specialUser 是 一名用户，而非一组用户。在目录设置中，像 alice 和 bob 之类的用户一般都 包含在 partners 节点中。我将这个特殊用户包含在 departments 节点中，以 此证明 Acegi 允许用户位于 LADP 目录中任何地点的灵活性。稍后在本文中， 您将了解如何配置 Acegi 以应用 specialUser。

使用Acegi保护Java应用程序，第2部分: 使用LDAP目录服务器(2)

使用专有名称

LDAP 使用专有名称（DN）的概念来识别 LDAP 树上特定的节点。每个节点具 有惟一的 DN，它包含该节点完整的层次结构信息。例如，图 2 展示了图 1 中 的一些节点的 DN：

图 2. LDAP 目录节点的专有名称

首先，注意图 2 中根节点的 DN。它的 DN 为 dc=org，这是与 org 根节点 相关的属性值对。每个节点都有若干个与之相关的属性。dc 属性代表 “domain component” 并由 LDAP RFC 2256 定义，LDAP 目录中的根节点通常表示为一个 域组件。

每个 LDAP 属性是由 RFC 定义的。LDAP 允许使用多个属性创建一个 DN，但 是本文的示例只使用了以下 4 个属性：

dc（域组件）

o（组织）

ou（组织单元）

uid（用户 ID）

示例使用 dc 表示域，用 o 表示组织名称，ou 表示组织的不同单元，而 uid 表示用户。

由于 org 是根节点，其 DN 只需指定自身的名称（dc=org）。比较一下， manufacturingEnterprise 节点的 DN 是 o=manufacturingEnterprise,dc=org 。当向下移动节点树时，每个父节点的 DN 被包含在其子节点的 DN 中。

将属性分组

LDAP 将相关的属性类型分到对象类中。例如，名为 organizationalPerson 的对象类所包含的属性定义了在组织内工作的人员（例如，职称、常用名、邮寄 地址等等）。

对象类使用继承特性，这意味着 LDAP 定义了基类来保存常用属性。然后子 类再对基类进行扩展，使用其定义的属性。LDAP 目录中的单个节点可以使用若 干个对象类：本文的示例使用了以下几个对象类：

top 对象类是 LDAP 中所有对象类的基类。

当其他对象类都不适合某个对象时，将使用 domain 对象类。它定义了一组 属性，任何一个属性都可以用来指定一个对象。其 dc 属性是强制性的。

organization 对象类表示组织节点，例如 图 2 中的 manufacturingEnterprise。

organizationalUnit 对象类表示组织内的单元，例如 图 1 中的 departments 节点及其子节点。

groupOfNames 对象类表示一组名称，例如某部门职员的名称。它具有一个 member 属性，该属性包含一个用户列表。图 1 中所有的组节点（例如 engineers 节点）使用 member 属性指定该组的成员。而且，示例使用 groupOfNames 对象类的 ou（组织单元）属性指定组用户的业务角色。

organizationalPerson 对象类表示组织内某个职员（例如 图 1 中的 alice 节点）。

使用Acegi保护Java应用程序，第2部分: 使用LDAP目录服务器(3)

使用 LDAP 服务器

在真实的应用程序中，通常将有关系统用户的大量信息托管在一个 LDAP 目 录中。例如，将存储每个用户的用户名、密码、职称、联系方式

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!