看起来你现在的代码逻辑是用管理员账号直接绑定LDAP服务器，然后搜索用户信息，完全没用到用户输入的密码——这就是为什么不需要密码就能完成操作的核心原因。正确的LDAP登录认证流程应该是：先通过用户提供的标识（比如你这里的mail）找到用户的完整DN，再用这个DN和用户输入的密码重新绑定，以此验证密码是否正确。

问题分析 #

你的当前代码存在两个关键问题：

• 先用ldapDomain（管理员DN）和password（管理员密码）绑定服务器，这一步是管理员身份登录，和用户输入的密码完全无关
• 搜索到用户信息后，没有执行用户身份的密码验证绑定，等于跳过了密码校验环节

修正后的实现步骤 #

1. 接收前端传来的用户输入：mail（或Uid）和userPassword
2. 使用管理员账号绑定LDAP，用于搜索用户的完整DN（如果LDAP允许匿名搜索，也可以跳过这一步，但大部分场景需要管理员权限）
3. 根据搜索结果获取用户的完整DN，然后用这个DN和用户输入的密码重新绑定LDAP——成功则认证通过，失败则密码错误
4. 操作完成后及时解绑客户端连接，避免资源泄漏

修改后的login.js代码示例 #

const ldap = require('ldapjs');
const ldapConfig = require('./ldapConfig');
const assert = require('assert');

// 接收用户登录输入
const userInputMail = request.body.mail;
const userInputPassword = request.body.password; // 必须接收用户输入的密码

const server = ldapConfig.url;
const adminDn = ldapConfig.domain; // 管理员DN
const adminPassword = ldapConfig.secret; // 管理员密码
const searchBase = ldapConfig.search_dn;

// 创建LDAP客户端
const client = ldap.createClient({ url: server });

// 第一步：管理员身份绑定，用于搜索用户
client.bind(adminDn, adminPassword, (err) => {
  if (err) {
    console.error('管理员绑定失败:', err);
    return client.unbind(); // 失败则立即解绑
  }

  // 修复过滤器语法：原配置的`&`是HTML转义字符，实际要使用`&`
  const searchFilter = `(&(objectClass=你的ObjectClass值)(mail=${userInputMail}))`;
  const opts = { scope: 'sub', filter: searchFilter };

  // 搜索匹配的用户
  client.search(searchBase, opts, (err, res) => {
    if (err) {
      console.error('搜索用户失败:', err);
      return client.unbind();
    }

    let userDn = null;
    res.on('searchEntry', (entry) => {
      userDn = entry.objectName; // 获取用户的完整DN
      console.log('找到用户DN:', userDn);
    });

    res.on('end', () => {
      client.unbind(); // 先解绑管理员连接

      if (!userDn) {
        console.log('未找到对应用户');
        // 返回「用户不存在」的响应
        return;
      }

      // 第二步：用用户DN和输入的密码绑定，验证密码正确性
      const userClient = ldap.createClient({ url: server });
      userClient.bind(userDn, userInputPassword, (err) => {
        userClient.unbind(); // 无论成功失败都解绑用户连接

        if (err) {
          console.error('用户密码验证失败:', err);
          // 返回「密码错误」的响应
        } else {
          console.log('用户登录认证成功');
          // 返回「登录成功」的响应
        }
      });
    });
  });
});

额外注意事项 #

• 确认你的LDAP服务器允许用户用自身DN和密码进行绑定（绝大多数LDAP服务器默认支持该功能）
• 检查ldapConfig.js里的filtre配置，确保过滤器语法正确，避免因转义字符导致搜索失败
• 异步逻辑中要做好错误捕获，防止出现未关闭的LDAP连接导致资源泄漏

内容的提问来源于stack exchange，提问作者user10817219