Keycloak - Infinispan Redis 缓存存储

Question

目前在standalone-ha模式下设置一个keycloak集群，以便能够在docker swarm上运行。在 keycloak 中，用户会话被缓存在嵌入式 infinispan 存储中，并且 infinispan 可以配置为跨集群的分布式缓存。

我也将所有者设置为 2，但问题是.. 在缩减期间，用户会话可能会丢失，如果包含缓存的所有者在缩减期间都被杀死-下。

我还阅读了有关 Infinispan Redis 缓存存储的信息，但我不确定如何配置它。

问题 1： 是否可以将 Keycloak Infinispan 配置为使用 Redis 存储？

问题 2： 如果这是不可能的，有没有办法可以克服这个问题？

任何建议都会有所帮助。

Answer 1

由于这个 PR https://github.com/keycloak/keycloak/commit/056ba75a72b1595ca9fa471f5693201fd5b2c7ae 默认情况下（Keycloak 最新版本 6.0.1），使用 InfinispanChangelogBasedTransaction.java 的 Infinispan Connection SPI 有一个非常特殊的使用 CacheDecorator.java 将 skipCacheStore。这意味着无论您是否配置具有持久性的存储，该存储都将被忽略。

为了实现您想要的，除了配置存储之外，您还必须在此处自定义大部分 SPI https://github.com/keycloak/keycloak/tree/master/model/infinispan/src/main/resources/META-INF/services 以确保 Keycloak 将使用缓存存储。

这也不是一件容易的事，因为这个过程涉及很多好处，例如，由于 Keycloak 使用 Jboss 的 Marshaller，如果你自定义这个 SPI，你将不得不带上大部分 org.keycloak.models.sessions.infinispan 包并注册您的模块以确保 Wildfly 能够看到要编组的实体。

另外一点是，你应该在Redis中配置大部分缓存指向一个公共数据库，除了authenticationSessions不能和sessions在同一个数据库中，否则会出现类似@的冲突987654330@ 已找到，但应为 SessionEntityWrapper。

要恢复，过程会很痛苦，但如果你敢去做，我就是这样实现的：

• 引入了一个自定义 InfinispanConnectionProviderFactory，以便完全能够使用 infinispan 配置，然后像这样配置我的容器：

private Configuration getRedisConfiguration(int database) {
    ConfigurationBuilder cb = new ConfigurationBuilder();
    cb.persistence()
      .passivation(false)
      .addStore(RedisCacheStoreConfigurationBuilder.class)
      .ignoreModifications(false)
      .fetchPersistentState(false)
      .purgeOnStartup(false)
      .preload(false)
      .shared(true)
      .addProperty("host", System.getenv("REDIS_HOST"))
      .addProperty("port", System.getenv("REDIS_PORT"))
      .addProperty("database", String.valueOf(database));

    return cb.build();
  }

您看到的RedisCacheStoreConfigurationBuilder 基本上是原始存储的精简版本，但我不需要哨兵或服务器模式，我只想连接到主机、端口和数据库。

然后我基本上复制了org.keycloak.models.sessions.infinispan，删除了与删除缓存相关的所有内容，而不是正常使用没有装饰器的缓存来跳过CacheStore。

如果我能提供帮助，请告诉我，我会准备一篇文章，详细说明如何执行此操作，其中还包括一个包含我正在谈论的代码的存储库。如果有人还在尝试这个，请告诉我更多信息。

Answer 2

当期望动态扩展大型系统时，应避免在配置中注册可用节点列表的这种约束。所以 Redis 节点发现在这里是一个好处。

Infinispan 本身支持 Redis Store 作为实现 SPI 和添加 XML 实体以简化配置的扩展：

• http://infinispan.org/docs/cachestores/redis/

• https://github.com/infinispan/infinispan-cachestore-redis

• http://infinispan.org/docs/stable/user_guide/user_guide.html#custom_cache_stores

但 WildFly infinispan 子系统（尚）不支持此扩展 - 因为 Keycloak 依赖于 WildFly。

因此，我希望通过以下任务使 Infinispan Redis Store 可用于 WildFly 和 Keycloak：

• 为 infinispam redis 存储 jar 创建 jboss 模块 - 参见 modules/system/layers/base/org/infinispan/

• 创建一个“自定义缓存存储”工厂，能够从 WildFly 配置键/值属性实例化 Redis 存储对象（存储、服务器和连接池）。这也必须作为 jboss 模块添加到 WildFly 中

• 使用 WildFly infinispan 子系统 "local-cache" "custom" 来配置这个工厂的属性 class 和 properties: https://wildscribe.github.io/WildFly/11.0/subsystem/infinispan/cache-container/local-cache/store/custom/index.html

工作正在进行中，可能会发布代码和配置。

Answer 3

在 Infinispan 后面使用 Redis 存储有什么特别的原因吗？

一个更简单的解决方案可能是将持久性配置到文件或共享数据库。对于这样的缓存用例，基于文件的持久性可能就足够了。请参阅here，例如使用基于文件的持久性配置 Infinispan。或者，您可以存储到共享数据库，例如Postgresql，但这需要更多设置（例如，参见ref card）。