ToB企服应用市场:ToB评测及商务社交产业平台

标题: keycloak~关于社区认证的总结 [打印本页]

---

作者: 张国伟    时间: 2025-2-21 09:21
标题: keycloak~关于社区认证的总结
keycloak关于社区认证它有统一的设计，社区认证包罗了github,microsoft,wechat,qq,dingtalk等等，当然你还可以扩展很多实现了oauth2协议的第三方社区，将它们对接到keycloak上面来，这变得十分容易；社区认证一般由3个提供者社区，主要如下：

• 社区服务提供者，继续了AbstractOAuth2IdentityProvider抽象类，实现了SocialIdentityProvider接口
  
• 社区服务First Login Flow,当社区用户与keycloak用户没有建立关联时，会走这个流程
  
• 社区服务Post Login Flow,当社区用户与keycloak建立关系后，在实验完社区服务提供者回调方法后，会走这个流程，完成社区认证最后的步骤
  

社区认证流程

• 用户在keycloak认证平台，点击第三方社区登录链接
  
• 跳转到第三方之后，用户在第三方完成登录
  
• 第三方让用户进行确认，是否公开自己的信息，用户同意之后，302重定向到keycloak社区接口
  
• 社区接口中通过第三方传回的code进行用户token的获取
  
• 根据用户token，调用第三方用户接口，获取第三方用户公开的信息
  
• 完成keycloak社区认证
  
• 根据用户属性信息
  
• 走post login flow流程
  
• 走token生成流程，根据client scope的mapper进行token字段的构建
  
• 完成登录后，302到目标页，带上keycloak颁发的授权码
  
• 目标网站，根据授权码，获取keycloak的token接口获取token
  

社区绑定事件FEDERATED_IDENTITY_LINK的扩展

• 具体实验的方法：org.keycloak.services.resources.IdentityBrokerService.afterFirstBrokerLogin方法
  
• 添加自定义事件元素：event.detail(Details.IDENTITY_PROVIDER_USERNAME, context.getBrokerUserId());
  

社区认证绑定用户属性的方式

当社区用户绑定keycloak用户后，社区的信息在登录后，可以自动将它们写到用户属性表里，我们可以通过以下方式来实现

• AbstractJsonUserAttributeMapper的实现类，并通过META-INF/services/org.keycloak.broker.provider.IdentityProviderMapper 来注入它
  
• 直接在SocialIdentityProvider具体社区实现类中，重写updateBrokeredUser方法，进行两种用户模块的映射
  

社区认证时的state参数构成

1 社区登录回调state参数，默认由3个参数的拼接而组成，分别是state随机数，tableId和clientId，而假如我们希望扩展它，让它支持4个参数，可以这样操作：

• org.keycloak.broker.provider.util.IdentityBrokerState类中encoded方法
  
  
  
  

2 构建社区登录地址时添加自定义state参数

• AbstractOAuth2IdentityProvider类中createAuthorizationUrl方法，修改state参数的拼接
  

1. String state = request.getState().getEncoded();
2. if (request.getAuthenticationSession().getAuthNote("g") != null &&
3.     request.getAuthenticationSession().getAuthNote("g").trim() != "") {
4.   state = state + "." + request.getAuthenticationSession().getAuthNote("g");
5. }

复制代码

3 在认证乐成后federatedIdentityContext上下文添加参数

• AbstractOAuth2IdentityProvider类中Endpoint.authResponse方法，再返回之前为federatedIdentity添加groupId参数
  

1. // 添加集团代码
2. String[] decoded = DOT.split(state, 4);
3. if (decoded.length == 4) {
4. federatedIdentity.setUserAttribute("g", decoded[3]);
5. }

复制代码

社区认证中用户同步的模式

• LEGACY（传统模式）：
  
  
  
  • 在传统模式下，Keycloak 会尝试从外部身份提供程序导入用户，但假如在 Keycloak 中找不到匹配的用户，则会创建新用户。
    
  • 假如在外部提供程序中删除了用户，Keycloak 不会自动删除相应的用户帐户，而是将其标记为禁用状态。
    
  
  
• IMPORT（导入模式）：
  
  
  
  • 在导入模式下，Keycloak 会从外部身份提供程序导入用户，但不会创建新用户。它只会更新现有效户的属性，确保与外部提供程序同步。
    
  • 假如在外部提供程序中删除了用户，Keycloak 不会自动删除用户帐户，而是将其标记为禁用状态。
    
  
  
• FORCE（逼迫模式）：
  
  
  
  • 在逼迫模式下，Keycloak 会逼迫实验与外部身份提供程序的完全同步。这意味着它会创建新用户，更新现有效户的属性，同时还会禁用或删除在 Keycloak 中找不到的用户。
    
  • 逼迫模式确保Keycloak中的用户与外部提供程序中的用户保持完全同步。
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4