LDAP最佳实践

我对在基于Java的Web应用程序中使用LDAP身份验证的最佳实践感兴趣.在我的应用程序中,我不想存储用户名\密码,只存储一些ID.但我想检索LDAP目录中是否存在其他信息(名称,姓氏).

我的团队使用LDAP作为标准的身份验证方式.基本上,我们将LDAP视为任何其他数据库.

要将用户添加到应用程序,您必须从LDAP中选择一个或在LDAP中创建它; 当用户从应用程序中删除时,它将保留在LDAP中,但无法访问应用程序.

您基本上只需要在本地存储LDAP用户名.您可以每次从LDAP读取LDAP数据(电子邮件,部门等),或者以某种方式将其拉入应用程序,但是从LDAP读取它可能更简单,更智能,因为LDAP数据可能会更改.当然,如果您需要广泛报告或使用LDAP数据,您可能希望从LDAP(手动或批处理任务)中提取它.

好处是,一旦用户在LDAP中被禁用,它就会在所有应用程序中被禁用; 此外,用户在所有应用程序中具有相同的凭据 在企业环境中,有一堆内部应用程序,这是一个主要的优点.不要仅为一个应用程序的用户使用LDAP; 在那种情况下没有真正的好处.