我刚好做过类似的需求，不用Spring Security也完全可以实现，核心是用Spring LDAP的LdapTemplate来直接操作LDAP服务器，不需要任何重定向。下面是一步步的实现方案：

1. 引入依赖 #

首先在你的pom.xml（Maven）里添加Spring LDAP的starter，它封装了LDAP操作的核心工具，不需要Spring Security：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-ldap</artifactId>
</dependency>

如果是Gradle的话，对应的依赖是：

implementation 'org.springframework.boot:spring-boot-starter-ldap'

2. 配置LDAP连接参数 #

在application.yml里配置LDAP服务器的基础信息，比如你的LDAP地址、根DN、用于查询用户的管理员账号（因为要先搜索用户的完整DN才能验证密码）：

spring:
  ldap:
    urls: ldap://your-ldap-server:389  # 替换成你的LDAP服务器地址，默认389端口
    base: dc=example,dc=com            # 替换成你的LDAP根域名
    username: cn=admin,dc=example,dc=com  # 有查询权限的LDAP管理员账号
    password: admin-password           # 管理员账号密码

3. 编写LDAP认证与数据查询逻辑 #

创建一个独立的LdapAuthService来解耦认证逻辑，方便后续复用：

import org.springframework.ldap.core.LdapTemplate;
import org.springframework.stereotype.Service;
import javax.naming.NamingException;
import javax.naming.directory.Attributes;

@Service
public class LdapAuthService {

    private final LdapTemplate ldapTemplate;

    // 构造方法注入Spring自动配置的LdapTemplate
    public LdapAuthService(LdapTemplate ldapTemplate) {
        this.ldapTemplate = ldapTemplate;
    }

    /**
     * 验证LDAP用户名密码，并返回用户属性数据
     * @param username 前端传入的用户名
     * @param password 前端传入的密码
     * @return 用户的LDAP属性集合，验证失败返回null
     */
    public Attributes authenticateAndGetUser(String username, String password) {
        try {
            // 1. 根据用户名搜索用户的完整DN（这里假设LDAP用uid存储用户名，需根据实际调整）
            String userDn = ldapTemplate.searchForObject(
                "(uid=" + username + ")",
                (contextMapper) -> contextMapper.getDn().toString()
            );

            if (userDn == null) {
                // 用户不存在
                return null;
            }

            // 2. 用用户DN和密码尝试绑定LDAP，绑定成功则认证通过
            ldapTemplate.getContextSource().getContext(userDn, password);

            // 3. 认证通过后，查询用户的所有属性（可指定具体属性减少返回数据）
            return ldapTemplate.lookup(userDn);
        } catch (NamingException e) {
            // 绑定失败（密码错误、服务器不可达等）
            return null;
        }
    }
}

4. 在你的REST接口中集成 #

修改原来的接口方法，注入LdapAuthService完成认证和数据获取：

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import javax.naming.directory.Attributes;

@RestController
public class AgentController {

    private final LdapAuthService ldapAuthService;

    public AgentController(LdapAuthService ldapAuthService) {
        this.ldapAuthService = ldapAuthService;
    }

    @PostMapping("/myAPI")
    public String getAgentProductsList(@RequestParam String username, 
                                       @RequestParam String password, 
                                       @RequestParam String productType) {
        // 执行LDAP认证并获取用户数据
        Attributes userAttributes = ldapAuthService.authenticateAndGetUser(username, password);

        if (userAttributes == null) {
            // 认证失败，返回业务错误信息
            return "Authentication failed: invalid username or password";
        }

        // 从用户属性中提取需要的关联数据（比如部门、角色等）
        try {
            String userDept = userAttributes.get("department").get().toString();
            String userRole = userAttributes.get("employeeType").get().toString();
            // 这里用获取到的用户数据查询对应产品列表
            return String.format("Products for %s (Dept: %s, Role: %s): ...", username, userDept, userRole);
        } catch (Exception e) {
            return "Failed to fetch user-related data";
        }
    }
}

关键细节说明 #

• 用户DN搜索规则：上面用(uid=username)作为搜索过滤器，你需要根据你的LDAP服务器配置调整（比如Active Directory常用sAMAccountName作为用户名属性，有些LDAP用cn）。
• 认证核心逻辑：LDAP认证的本质是用用户的完整DN和密码绑定服务器，绑定成功则身份合法，这是最直接的原生认证方式，完全不需要Spring Security介入。
• 异常处理优化：你可以根据NamingException的具体子类（比如AuthenticationException）做更细粒度的错误提示，比如区分用户不存在和密码错误。
• 数据按需查询：如果不需要用户的所有属性，可以在lookup方法中指定需要的属性名，比如ldapTemplate.lookup(userDn, new String[]{"department", "mail"})，减少数据传输量。

内容的提问来源于stack exchange，提问作者Green