keycloak~关于社区认证的总结
keycloak关于社区认证它有统一的设计,社区认证包罗了github,microsoft,wechat,qq,dingtalk等等,当然你还可以扩展很多实现了oauth2协议的第三方社区,将它们对接到keycloak上面来,这变得十分容易;社区认证一般由3个提供者社区,主要如下:[*]社区服务提供者,继续了AbstractOAuth2IdentityProvider抽象类,实现了SocialIdentityProvider接口
[*]社区服务First Login Flow,当社区用户与keycloak用户没有建立关联时,会走这个流程
[*]社区服务Post Login Flow,当社区用户与keycloak建立关系后,在实验完社区服务提供者回调方法后,会走这个流程,完成社区认证最后的步骤
社区认证流程
[*]用户在keycloak认证平台,点击第三方社区登录链接
[*]跳转到第三方之后,用户在第三方完成登录
[*]第三方让用户进行确认,是否公开自己的信息,用户同意之后,302重定向到keycloak社区接口
[*]社区接口中通过第三方传回的code进行用户token的获取
[*]根据用户token,调用第三方用户接口,获取第三方用户公开的信息
[*]完成keycloak社区认证
[*]根据用户属性信息
[*]走post login flow流程
[*]走token生成流程,根据client scope的mapper进行token字段的构建
[*]完成登录后,302到目标页,带上keycloak颁发的授权码
[*]目标网站,根据授权码,获取keycloak的token接口获取token
https://img2024.cnblogs.com/blog/118538/202502/118538-20250221091944501-156251159.png
社区绑定事件FEDERATED_IDENTITY_LINK的扩展
[*]具体实验的方法:org.keycloak.services.resources.IdentityBrokerService.afterFirstBrokerLogin方法
[*]添加自定义事件元素:event.detail(Details.IDENTITY_PROVIDER_USERNAME, context.getBrokerUserId());
https://img2024.cnblogs.com/blog/118538/202502/118538-20250221093925006-1775995071.png
社区认证绑定用户属性的方式
当社区用户绑定keycloak用户后,社区的信息在登录后,可以自动将它们写到用户属性表里,我们可以通过以下方式来实现
[*]AbstractJsonUserAttributeMapper的实现类,并通过META-INF/services/org.keycloak.broker.provider.IdentityProviderMapper 来注入它
[*]直接在SocialIdentityProvider具体社区实现类中,重写updateBrokeredUser方法,进行两种用户模块的映射
社区认证时的state参数构成
1 社区登录回调state参数,默认由3个参数的拼接而组成,分别是state随机数,tableId和clientId,而假如我们希望扩展它,让它支持4个参数,可以这样操作:
[*]org.keycloak.broker.provider.util.IdentityBrokerState类中encoded方法
https://img2024.cnblogs.com/blog/118538/202502/118538-20250221090213815-270882400.png
2 构建社区登录地址时添加自定义state参数
[*]AbstractOAuth2IdentityProvider类中createAuthorizationUrl方法,修改state参数的拼接
String state = request.getState().getEncoded();
if (request.getAuthenticationSession().getAuthNote("g") != null &&
request.getAuthenticationSession().getAuthNote("g").trim() != "") {
state = state + "." + request.getAuthenticationSession().getAuthNote("g");
}https://img2024.cnblogs.com/blog/118538/202502/118538-20250221090326095-91710343.png
3 在认证乐成后federatedIdentityContext上下文添加参数
[*]AbstractOAuth2IdentityProvider类中Endpoint.authResponse方法,再返回之前为federatedIdentity添加groupId参数
// 添加集团代码
String[] decoded = DOT.split(state, 4);
if (decoded.length == 4) {
federatedIdentity.setUserAttribute("g", decoded);
}https://img2024.cnblogs.com/blog/118538/202502/118538-20250221090500408-1302520513.png
社区认证中用户同步的模式
[*]LEGACY(传统模式):
[*]在传统模式下,Keycloak 会尝试从外部身份提供程序导入用户,但假如在 Keycloak 中找不到匹配的用户,则会创建新用户。
[*]假如在外部提供程序中删除了用户,Keycloak 不会自动删除相应的用户帐户,而是将其标记为禁用状态。
[*]IMPORT(导入模式):
[*]在导入模式下,Keycloak 会从外部身份提供程序导入用户,但不会创建新用户。它只会更新现有效户的属性,确保与外部提供程序同步。
[*]假如在外部提供程序中删除了用户,Keycloak 不会自动删除用户帐户,而是将其标记为禁用状态。
[*]FORCE(逼迫模式):
[*]在逼迫模式下,Keycloak 会逼迫实验与外部身份提供程序的完全同步。这意味着它会创建新用户,更新现有效户的属性,同时还会禁用或删除在 Keycloak 中找不到的用户。
[*]逼迫模式确保Keycloak中的用户与外部提供程序中的用户保持完全同步。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]