使用 LDAP 身份验证处理用户关系 [关闭]

Question

我正在设置一个带有 LDAP 身份验证的网络应用程序，但我不太清楚如何处理用户数据库关系（例如，由创建、分配给、批准者、成员）

到目前为止，我想出了以下选项：

1. 当用户首次登录时，检查用户中是否存在记录 桌子。如果没有，请执行 ldap 查找以检索姓名和电子邮件，然后 创建用户记录。添加用户时会发生同样的事情 到列表或选定。 （可能存储上次 ldap 查找日期和 x 天后刷新登录详情）

2. 仅使用 cn 创建用户记录，并即时查找姓名和电子邮件

3. 只需存储 cn 而不是 fk，然后即时查找姓名和电子邮件。

我倾向于选择选项 1，因为它可以简化 ORM 并减少查找次数。另一方面，它似乎有点过度设计。

任何应避免上述选项的替代方案或理由，我们将不胜感激。

Answer 1

这可能取决于您的用例。

• 您想了解所有用户（包括尚未登录的用户）吗？
• 您需要为它们存储自定义属性吗？
• 是否需要根据用户属性进行关系查询？

只是一些比较：

• Linux PAM 使用选项 3 (NSS)。
• Liferay 或 Redmine 都使用修改后的选项 1。

事实上，我见过的大多数应用程序都在使用修改后的选项 1。这是因为 LDAP 通常只是支持的 身份验证 选项之一，而且在许多情况下，您希望为每个用户并像与任何其他实体一样使用条目（谈到关系，成员资格，......）。与您的描述的重要区别是：

• 每次用户登录时刷新用户条目。

请注意，还有第四种可能性——不要直接与 LDAP 集成，而是让IdM system 为您的应用程序提供用户。但是，这需要您的目标环境中存在有效的 IdM。