使用 Acegi 保护 Java 应用程序，第 2 部分: 使用 LDAP 目录服务器

核心提示： 为什么要使用目录服务器？本系列第一部分向您介绍了一种简单的方法，可以将用户信息以属性文件的形式保存起来（参见 第 1 部分，使用 Acegi 保护 Java 应用程序，第 2 部分: 使用 LDAP 目录服务器(2)，清单 6），属性文件以文本格式保存用户名、密码和用户角色，例如，本系列第 1

为什么要使用目录服务器？

本系列第一部分向您介绍了一种简单的方法，可以将用户信息以属性文件的形式保存起来（参见 第 1 部分，清单 6）。属性文件以文本格式保存用户名、密码和用户角色。对于大多数真实应用程序而言，使用属性文件存储安全信息远远不够。各种各样的理由表明，目录服务器通常都是更好的选择。其中一个原因是，真实的企业应用程序可以被大量用户访问 —— 通常是几千名用户，如果应用程序将其部分功能公开给用户和供应商时更是如此。频繁搜索文本文件中随意存储的信息，这样做的效率并不高，但是目录服务器对这类搜索进行了优化。

第 1 部分的清单 6 中的属性文件演示了另一个原因，该文件组合了用户和角色。在真实的访问控制应用程序中，您通常都需要分别定义和维护用户和角色信息，这样做可以简化用户库的维护。目录服务器为更改或更新用户信息提供了极大的灵活性，例如，反映职位升迁或新聘用人员。

LDAP 目录设置

如果希望将用户信息存储在一个 LDAP 目录中，您需要理解一些有关目录设置的内容。本文并没有提供对 LDAP 的完整介绍，而是介绍了一些在尝试结合使用 Acegi 和 LDAP 目录之前需要了解的基本概念。

LDAP 目录以节点树的形式存储信息，如图 1 所示：

图 1. LDAP 目录的树状结构

在图 1 中，根节点的名称为 org。根节点可以封装与不同企业有关的数据。例如，本系列第 1 部分开发的制造业企业被显示为 org 节点的直接子节点。该制造业企业具有两个名为 departments 和 partners 的子节点。