我开始为一些现有系统使用 LDAP 实现授权和身份验证机制。在开发阶段,我面临一个艰难的设计决策:用户角色应该存储在哪里?
如果我使用 RDBMS,看起来会有三个表:user、role和user_role来映射角色和用户。
请提出可用的解决方案。我考虑将用户角色存储在 DB 中,将用户存储在 LDAP 中,但不确定这是否是最佳解决方案。我使用 JBoss 作为我的应用程序服务器。
问问题
9935 次
1 回答
8
从架构的角度来看,您有多种解决方案。这是一个将所有数据保存到目录中的解决方案。
在您的目录中,您可以使用具有“组”含义的类中的对象对您的“角色”进行编码,例如groupOfNames或group(取决于您的目录)。用户可分辨名称 (DN) 将它们编码在这些对象的多值属性中(通常member)。作为回报,“角色”对象 DN 可以编码在用户对象的多值属性中(例如memberof:)
如果您的目录支持参照完整性,它可以充当系统目录。然后member和memberOf属性可以由目录本身管理。这意味着如果您将用户从组织单位移动到另一个组织单位,目录将刷新member用户所属的“角色”对象的属性。
在另一种情况下(没有引用完整性),您的应用程序必须管理属性完整性。
它很短,但我希望它有所帮助。
已编辑
我向您推荐Apache Directory Studio,这是(对我而言)最好的 LDAP 浏览器之一。该工具将允许您查看您的目录并更友好地学习 LDAP。使用此工具,我向您展示了 ADAM(Active Directory 应用程序模式)Microsoft 的免费目录编码“角色”的方式
在第一张图片中,您可以看到 AdminAdam 作为管理员组的成员:
在第二张图片中,您可以在用户 adminAdam 的属性 memberof 中看到该组的存在。
ADAM 支持参考完整性。
于 2011-06-06T05:42:48.070 回答