LDAP授权
Tio*_*oma 7 authentication authorization roles ldap security-roles
对于某些现有系统,我开始使用LDAP实现授权和认证机制.在开发阶段,我面临着一个艰难的设计决策:用户角色应该存储在哪里?
如果我使用RDBMS,看起来会有三个表:user,role和user_role来映射角色和用户.
请提供可用的解决方案 我考虑将用户角色存储在LDAP中的用户角色和用户,但不确定这是否是最佳解决方案.我使用JBoss作为我的应用程序服务器.
从架构的角度来看,你有多个解决方案.这是一个将所有数据保存到目录中的解决方案.
在您的目录中,您可以使用类别为"group" groupOfNames或group(取决于您的目录)的类中的对象来编写"角色" .用户区分名称(DN)将在这些对象的多值属性中编码(通常member).的"角色"对象DN可以是,作为回报,在用户对象的多值属性编码(例如:memberof)
如果您的目录支持参照完整性,它可以充当系统目录.然后member,memberOf属性可以由目录本身管理.这意味着如果您将用户从组织单位移动到另一个组织单位,则目录将刷新member用户所属的"角色"对象的属性.
在另一种情况下(没有参考完整性),您的应用程序必须管理属性完整性.
它很短但我希望它有所帮助.
编辑
渴望所有我建议您使用Apache Directory Studio,这对我来说是最好的LDAP浏览器之一.tHis工具将允许您查看您的目录并更加友好地学习LDAP.使用此工具,我向您展示ADAM(Active Directory应用程序模式)的免费Microsoft代码编目方式'角色'
在第一张图片中,您可以看到AdminAdam是管理员组的成员:
在第二张图片中,您可以在用户adminAdam的属性memberof中看到该组的存在.
ADAM正在支持参考完整性.
| 归档时间: |
|
| 查看次数: |
7684 次 |
| 最近记录: |