我的 Ldap 工作了,我面临的唯一问题是当我尝试使用电子邮件登录时,也就是当我登陆以下代码中的 else 部分时。如果我的用户名与电子邮件不同,则会引发错误。即,如果我的电子邮件是"skumar@gmail.com",我的用户名是"Saurakumar",那么它将通过无效的用户名密码错误。 由于在内部,我使用用户名来发送电子邮件,即如果用户以"karan"的名称登录,那么我希望电子邮件是karan @gmail.com 在许多情况下并非如此,身份验证失败。我正在寻找一些解决方案,我可以通过电子邮件或用户名登录,我将能够对用户进行身份验证。下面是我的代码片段。请建议?
ldapEnv.put(Context.INITIAL_CONTEXT_FACTORY, initialContextFactory);
ldapEnv.put(Context.PROVIDER_URL, url);
ldapEnv.remove(Context.SECURITY_PROTOCOL);
if (email == null) {
lContext = new InitialLdapContext(ldapEnv, null);
entryResult = searchUserEntry(lContext, user, searchCtrls);
final String usrDN = ((Context) entryResult.getObject()).getNameInNamespace();
lContext.addToEnvironment(Context.SECURITY_AUTHENTICATION, "simple");
lContext.addToEnvironment(Context.SECURITY_PRINCIPAL, usrDN);
lContext.addToEnvironment(Context.SECURITY_CREDENTIALS, pass);
lContext.reconnect(null);
} else {
ldapEnv.put(Context.SECURITY_PRINCIPAL, email);
ldapEnv.put(Context.SECURITY_CREDENTIALS, credentials);
lContext = new InitialLdapContext(ldapEnv, null);
return lContext;
searchUserEntry(lContext, user, searchCtrls);
}
通常这是一个 3 步过程:
-
以管理用户身份绑定到 LDAP。请注意,这不应该是配置文件中定义的主用户:这是供OpenLDAP本身使用的。相反,它应该是 DIT 中提到的用户,该用户具有下一步的适当搜索访问权限。
-
通过一些独特的属性搜索用户,例如在您的案例电子邮件中。
-
使用找到的用户 DN 和他指定的密码,尝试以该用户身份绑定(在适当更改上下文环境后,使用
reconnect()方法(。
如果全部成功,则登录成功。如果 (2( 或 (3( 失败,则表示您失败,请注意,您不应告诉用户是哪个失败:否则您将向攻击者泄露信息。您不应该提及是用户名(电子邮件(还是密码错误。