REST API 中缺少 Keycloak 用户角色

Question

如果有人知道，我想问一下，为什么 REST ADMIN API 请求的用户详细信息中没有没有角色。我看到一些关于这个主题的帖子，但要么没有明确的答案，要么他们建议使用 keycloak-admin-client，但这似乎不太方便。也许我需要在管理控制台中映射角色或使用声明？角色是最重要的用户属性之一，那么他们没有作为其他用户属性检索的原因是什么？有什么建议吗？谢谢

GET /auth/admin/realms/{realm}/users 

{
  "id": "efa7e6c0-139f-44d8-baa8-10822ed2a9c1",
  "createdTimestamp": 1516707328588,
  "username": "testuser",
  "enabled": true,
  "totp": false,
  "emailVerified": false,
  "firstName": "Test",
  "lastName": "User",
  "email": "test@xxx.com",
  "attributes": {"xxx": ["123456"]},
  "disableableCredentialTypes": ["password"],
  "requiredActions": []
}

Answer 1

您没有在用户详细信息中获取角色，因为 REST API 严格基于资源，并且角色是仅与用户关联的单独对象。以下 REST URL 可用于获取用户的角色
获取相关领域角色：
GET /auth/admin/realms/{realm}/users/{user-uuid}/role-mappings/realm
获取特定客户端的关联角色：
GET /auth/admin/realms/{realm}/users/{user-uuid}/role-mappings/clients/{client-uuid}

Answer 2

我还尝试在一次调用的范围内获取此信息，因为基于 Keycloak API 文档，我们可以做到这一点。但没有结果。我还尝试为客户端使用不同的映射器，我们可以使用这些映射器向令牌数据、用户信息等添加一些信息。但看起来我们无法使用GET /auth/admin/realms/{realm}/users 端点获取该信息。它也不适用于 GET /auth/admin/realms/{realm}/users/{userId} 端点。

在我的例子中，我需要获取带有分页和搜索选项的用户列表，并且我需要有关分配给用户的客户端角色以及用户所在的组的信息。

因此，我需要进行大量 API 调用。我需要获取用户列表，然后对于每个用户，我需要通过额外的 API 调用获取用户组和客户端角色，然后组合这些信息。此外，进行 API 调用以让用户计数。但是，实际上并没有超过 20 次 API 调用来获取 10 个用户所需的信息。

那么，我做了什么。

作为另一种方法，我已将我的 Nest.js 应用程序直接连接到 Keycloak 数据库，并使用 TypeORM 通过一个 SQL 查询来完成我需要的操作。我已经创建了具有关系的模型，并且很容易做到。

就我而言，我使用过USER_ENTITY、USER_ROLE_MAPPING、KEYCLOAK_ROLE、USER_GROUP_MEMBERSHIP、KEYCLOAK_GROUP 表。

它的作品很好。唯一的问题是，在未来的 Keycloak 版本中，可能会在数据库结构中添加一些更改...... 在这种情况下，应调查更改，并在模型更改后更新 Keycloak 版本。

如果您正在执行类似我的解决方案的操作，请确保您没有更改 Keycloak 数据库中的任何内容。或者，如果您想在不使用 Keycloak API 的情况下执行插入或删除操作，请确保您拥有有关 Keycloak 数据库结构的所有信息。实际上大约有 93 张桌子。