一、前言

LDAP：轻型目录访问协议，即Lightweight Directory Access Protocol (LDAP)是一个访问在线目录服务的协议，最典型例子的就是黄页、电话簿等，主要用于读极多并且写极少的场景。

LDAP服务器：
OpenLDAP：官网--http://www.openldap.org/ ， 有丰富LDAP相关文档。

ADS：官网--https://directory.apache.org/，支持eclipse插件方式安装，提供LDAP开发的各种工具。

二、Spring配置
ldap-server：

目标LDAP配置，即协议、IP、端口、用户名、密码等，如：

Spring支持内嵌的LDAP测试服务器配置，ADS有提供相关的jar，内嵌LDAP服务器只需要指定root和ldif文件即可，不需要协议IP端口等配置，ldif文件可以使用ADS开发工具编辑，如：

ldap-authentication-provider：

用户认证授权相关配置，主要是用户配置用户组合用户过滤规则，方便快速从LDAP服务器定位到用户信息，如：

user-search-filter="(uid={0})"
user-search-base="ou=users"
group-search-filter="(uniqueMember={0})"
group-search-base="ou=groups"
group-role-attribute="cn"
role-prefix="ROLE_">

user-dn-pattern: 用户dn过滤规则，如user-dn-pattern="uid={0},ou=people"， uid={0}表示过滤uid属性

user-search-base: 指定从哪个分支开始查找用户，如user-search-base="ou=people"，默认从root开始

user-search-filter: 用户过滤规则，如user-search-filter="(uid={0})" ，与user-dn-pattern类似，使用一个即可

group-search-base: 指定从哪个分支开始查找用户用户组，如group-search-base="ou=groups"

group-search-filter: 用户组过滤规则，如group-search-filter="(uniqueMember={0})"表示使用uniqueMember属性过滤

group-role-attribute: 用户组中Role映射属性，默认为cn，验证时会自动增加role前缀

role-prefix : role前缀， 默认为"ROLE_"，即role-prefix="ROLE_"

通过以上基本的配置即可支持LDAP认证授权。

三、高级配置
Spring强大的功能之一就是在提供简便配置的同时支持自己定制，而定制最基础的就是bean配置，通过替换bean的实现可以替换掉spring原先提供的默认实现。
class="org.springframework.security.ldap.DefaultSpringSecurityContextSource">




class="org.springframework.security.ldap.authentication.LdapAuthenticationProvider">




uid={0},ou=people




class="org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator">






class="org.springframework.security.ldap.search.FilterBasedLdapUserSearch">

Spring已经提供对LDAP认证的强大支持，一般情况下不需要自己定制。

Spring Security 学习之LDAP认证相关文件下载：

具体下载目录在 /2014年资料/2月/28日/Spring Security 学习之LDAP认证