Spring安全或LDAP服务器规则密码策略？

我有一个使用Jpa Hibernate、Spring Data、Spring security的应用程序，但我希望对密码规则和用户有更多的控制，例如，密码过期时间、会话时间、非活动会话时间等。 SpringSecurity可以自动完成所有这些任务吗

另一种可能是使用LDAP来控制密码策略，但我的应用程序中已经定义了用户，我看不出LDAP服务器如何读取我的用户以应用策略，或者用户必须在LDAP服务器中才能在我的应用程序中进行身份验证

我安装了apacheds服务器进行测试

---

我需要知道我是否使用了正确的方法来解决这个问题。

如果您使用LDAP密码策略，它将在现有用户下次更改密码时应用于他们，您可以强制他们这样做

---

会话非活动/到期时间与LDAP中实现的密码策略无关

谢谢EJP，现在我让我的应用程序连接到apacheds服务器并对用户进行身份验证。您知道我在应用程序中创建新用户时在apacheds服务器中创建新用户的方法吗？我发现的大多数例子只是authenticate@DAM我不知道你所说的“在我的应用程序中创建一个新用户”是什么意思。您应该仅在LDAP服务器中创建它。您不希望在两个地方保留用户。因为我有一个屏幕来创建一个新用户，生成密码并通过电子邮件发送，所以我的意思是，当我创建一个新用户时，我只想保存在LDAP服务器上。经过长时间的搜索，我发现了一个样本，显示了这一点。谢谢你的帮助。