Keycloak 用户存储 SPI 实现

Question

我正在尝试实现自定义 keycloack Authenticator SPI 以针对外部数据源进行身份验证。 Spring boot Rest Service 也有，我也可以用。

我要解决的用例是

向用户显示 keycloak 登录屏幕。 Onsubmission 用户已针对外部数据源进行验证。

从外部数据源检索一些属性，将其映射到 keycloak 的 id 和访问令牌。

还设置了同一用户同时登录多次的用户限制条件。

我在想，这可以通过检索 keycloak 数据源中可用的用户会话信息来解决。如果我使用外部数据源，keycloak 是否仍然维护会话信息？

我遵循了官方指南（https://www.keycloak.org/docs/latest/server_development/index.html#_auth_spi_walkthrough）的第 8.3 节，这与我需要的非常相似。

现在我按照第 11 节跳过并开始（https://www.keycloak.org/docs/latest/server_development/index.html#_user-storage-spi）似乎也更合适。

我从实现自定义身份验证器 SPI 开始，认为这不是正确的方法，现在实现了 UserStorageProvider。

/***
 * From UserLookupProvider
 */
public UserModel getUserById(String id, RealmModel realm) {
    System.out.println("ID: " + id + ":REALM:" + realm);
    StorageId storageId = new StorageId(id);
    /**
     * StorageId.getExternalId() method is invoked to obtain 
     * the username embeded in the id parameter
     */
    String username = storageId.getExternalId();
    System.out.println("Name:" + username);
    return getUserByUsername(username, realm);
}

/***
 * From UserLookupProvider
 * This method is invoked by the Keycloak login page when a user logs in
 */
public UserModel getUserByUsername(String username, RealmModel realm) {
    System.out.println("USERNAME: " + username + ":REALM:" + realm);
    UserModel userModel = loadedUsers.get(username);
    if (userModel == null) {
        String password = properties.getProperty(username);
        if (password != null) {
            userModel = createUserModel(realm, username);
            System.out.println("New UserModel:");
            System.out.println(userModel.toString());
            loadedUsers.put(username, userModel);
        }
    }
    return userModel;
}

protected UserModel createUserModel(RealmModel realm, String username) {
    return new AbstractUserAdapter(session, realm, model) {
        @Override
        public String getUsername() {
            return username;
        }
    };
}

关注文档(https://www.keycloak.org/docs/latest/server_development/index.html#packaging-and-deployment-2)

我们的提供者实现的类文件应该放在一个 jar 中。您还必须在 META-INF/services/org.keycloak.storage.UserStorageProviderFactory 文件中声明提供程序工厂类。

这里的问题是：我创建的jar在“META-INF”文件夹中没有服务目录，我需要手动创建并添加它吗？

org.keycloak.examples.federation.properties.FilePropertiesStorageFactory 创建 jar 后，您可以使用常规 WildFly 部署它，方法是：将 jar 复制到 deploy/ 目录或使用 JBoss CLI。

使用 maven 创建 jar 后，将 jar 复制到“keycloak-6.0.1\standalone\deployments”文件夹。但我在“用户联合列表”中没有看到我的提供商

任何建议/帮助将不胜感激！

提前感谢您的建议。

Answer 1

如果有人遇到这样的问题：

由于 META-INF/services 文件夹，未显示 UserStorage SPI。文档中提供了，但不清楚

在src/main/resources中，创建文件夹结构META-INF/services

在 META-INF/services 目录中创建一个名为 org.keycloak.storage.UserStorageProviderFactory 的文件（整个就是文件名）。它的内容是 SPI 的完全限定类名： com.test.UserSpi

Answer 2

• 好的，您已澄清您需要一个用户存储提供程序 API。很棒

• 现在关于您的第二个“问题/挑战”：

从外部数据源检索一些属性，将其映射到 keycloak 的 id 和访问令牌。需要检索用户唯一 id 并将其作为主题 id 添加到 jwt 中。那就是 id，当这个令牌被传递给其他服务时，其余服务可以使用它来检索 id。

为此，您能做的最好的事情是：

1. 将这些用户的唯一数据添加为用户属性（在管理控制台上查看）

2. 在 Keycloak 上创建一个“客户端范围”，并为“用户属性”创建一个映射器 将您想要（从您的用户）添加的那些属性映射到您的 Id-token 和 access-token。您还需要将您的客户与您刚刚创建的“客户范围”联系起来。这可能听起来有点令人困惑，但这个视频是很好的材料，我相信它会对你有很大帮助：https://www.youtube.com/watch?v=ZxpY_zZ52kU（大约在 6:30 左右，你会看到如何为你的令牌添加额外的用户信息）

还可以查看此页面：https://jwt.io/（当您粘贴编码标记时，您可以看到它们的内容），它是开发人员的绝佳工具。

当您提出解决方案时，我将帮助您完成独特的会话，或者您将其作为不同的问题发布，因为那是不同的问题。

希望对你有帮助。

Answer 3

我不确定您需要什么。让我们首先区分身份验证 SPI（联合身份检查）与用户提供者 SPI（联合用户）。第一个（文档的第 8 节 - 更多地关注针对外部服务对用户进行身份验证 - 类似于 facebook 或 google）。联合用户存储更像是您在具有传统“角色结构”的旧系统中拥有自己的用户，并且您基本上希望通过 keycloak 管理它们（通过导入它们或通过某些 API 查询 - 这将是部分该文件的 11 个）。所以请确定你真正需要的是什么。

第二，您提到以下内容：

>  User is presented keycloak login screen. Onsubmission User is
> validated against external Datasource.
> 
> Retrieve some attributes from external datasource, map it to
> keycloak's id and access token.
> 
> Also put in a condition of user restriction of same user logging in
> multiple times at the same time.
> 
> I was thinking, it could be solved by retrieving user session
> information that's available in the keycloak datasource. If i use
> external datasource, does keycloak still maintain session information?

你的意思是：从外部数据源检索一些属性，将其映射到 keycloak 的 id 和访问令牌。？通常你只检索用户核心信息，可能还有角色和其他自定义属性（不是会话信息）。 Keycloak 本身作为基于 openIDConnect 的授权服务器，将生成访问令牌，其中已经包含有关哪些人可以访问哪些受保护资源的信息，因此您实际上不需要从其他地方导入任何会话，或者您自己关心所述令牌的生成.

关于：还设置了同一用户登录的用户限制条件 在同一时间多次。当您记录您的客户第一次收到有效时间为 X 的 Bearer 令牌时，您到底想完成（或避免）什么，在那段时间内您不需要再次登录，直到令牌过期或被取消；再次是您的身份验证服务器负责的事情，而不是您实施的事情。你有更具体的要求吗？

我在想，这可以通过检索 keycloak 数据源中可用的用户会话信息来解决。如果我使用外部数据源，keycloak 是否仍然维护会话信息？ 这听起来不对，你指的是什么会话数据？或者你需要访问？您的用户数据、范围、角色等可以通过 KEycloak Rest API (https://www.keycloak.org/docs-api/6.0/rest-api/index.html#_overview) 访问。您的外部数据源用于与用户相关的核心数据（不是外部会话），您认为为什么需要导入外部会话？