ToB企服应用市场:ToB评测及商务社交产业平台

标题: keycloak~RequiredActionProvider的使用 [打印本页]

---

作者: 万有斥力    时间: 2024-5-16 23:38
标题: keycloak~RequiredActionProvider的使用
使用场景

RequiredActionProvider，它是在认证过程中，需要当前登录的用户实行个性化的动作；当用户符合条件，就被实行RequiredActionProvider对作，当RequiredActionProvider没有正常提交(context.success())之前，当前用户仍旧是未登录状态，这在keycloak框架中，也有一些默认的个性化动作，它与整个登录流程是解耦的，事实上，keycloak的设计理念也是微架构设计，插件化设计。
keycloak默认提供的RequiredActionProvider

• VERIFY_EMAIL 验证邮箱
  
• UPDATE_PROFILE 更新用户信息
  
• CONFIGURE_TOTP 设置totp多因子认证
  
• UPDATE_PASSWORD 强制更新密码，用在临时建立的密码场景（CredentialRepresentation中的isTemporary为true时实行）
  
• TERMS_AND_CONDITIONS 用户在初次登录时会被要求查看并接受特定的服务条款和条件
  
• VERIFY_PROFILE 验证个人信息
  

keycloak后台设置RequiredActionProvider

在侧-验证菜单，选择Required Action标签，可以管理它们，开启大概设置成默认，同时也可以添加自定义的RequiredActionProvider
1 设置列表

2 添加新的Required Action

自定义的RequiredActionProvider

下面我们添加一个自定义的RequiredActionProvider，业务场景是，当登任命户名前缀是test时，就让这个用户去验证手机号
1 添加一个UpdatePhoneNumberRequiredAction文件，让它实现RequiredActionProvider接口

1. public class UpdatePhoneNumberRequiredAction implements RequiredActionProvider {
3.     public static final String PROVIDER_ID = "UPDATE_PHONE_NUMBER";
5.     @Override
6.     public void evaluateTriggers(RequiredActionContext context) {
7.     }
9.     @Override
10.     public void requiredActionChallenge(RequiredActionContext context) {
11.         Response challenge = context.form()
12.                 .createForm("login-update-phone-number.ftl");
13.         context.challenge(challenge);
14.     }
16.     @Override
17.     public void processAction(RequiredActionContext context) {
18.         TokenCodeServiceProvider tokenCodeServiceProvider = context.getSession().getProvider(TokenCodeServiceProvider.class);
19.         String phoneNumber = context.getHttpRequest().getDecodedFormParameters().getFirst("phoneNumber");
20.         String code = context.getHttpRequest().getDecodedFormParameters().getFirst("code");
21.         try {
22.             tokenCodeServiceProvider.validateCode(context.getUser(), phoneNumber, code);
23.             context.success();
24.         } catch (BadRequestException e) {
26.             Response challenge = context.form()
27.                     .setError("noOngoingVerificationProcess")
28.                     .createForm("login-update-phone-number.ftl");
29.             context.challenge(challenge);
31.         } catch (ForbiddenException e) {
33.             Response challenge = context.form()
34.                     .setAttribute("phoneNumber", phoneNumber)
35.                     .setError("verificationCodeDoesNotMatch")
36.                     .createForm("login-update-phone-number.ftl");
37.             context.challenge(challenge);
38.         }
39.     }
41.     @Override
42.     public void close() {
43.     }
44. }

复制代码

2 添加UpdatePhoneNumberRequiredActionFactory文件，让它去构建上面的UpdatePhoneNumberRequiredAction实例

1. public class UpdatePhoneNumberRequiredActionFactory implements RequiredActionFactory {
3.     private static final UpdatePhoneNumberRequiredAction instance = new UpdatePhoneNumberRequiredAction();
5.     @Override
6.     public String getDisplayText() {
7.         return "";
8.     }
10.     @Override
11.     public RequiredActionProvider create(KeycloakSession session) {
12.         return instance;
13.     }
15.     @Override
16.     public void init(Scope scope) {
17.     }
19.     @Override
20.     public void postInit(KeycloakSessionFactory sessionFactory) {
21.     }
23.     @Override
24.     public void close() {
25.     }
27.     @Override
28.     public String getId() {
29.         return UpdatePhoneNumberRequiredAction.PROVIDER_ID;
30.     }
31. }

复制代码

3 在resources/META-INF/services/文件夹下，添加org.keycloak.authentication.RequiredActionFactory文件，通过SPI的方式，注册咱们的UpdatePhoneNumberRequiredActionFactory工厂

1. org.keycloak.phone.authentication.requiredactions.UpdatePhoneNumberRequiredActionFactory

复制代码

4 添加咱们这个UpdatePhoneNumberRequiredActionFactory，它在keycloak后台RequiredActionProvider中，显示的名称是“Update Phone Number”，我们去添加并开启它

5 在brower的认证流程中，你需要在context.success()之前去判断用户名的前缀,并为它指定RequiredAction，如果是对全部用户有效的，那不需要添加以下代码，可以把它在keycloak后台，设置为“默认”行为即可。

• 要想使RequiredAction见效，需要先在keycloak后台启用它
  
• 要想对新建用户启用它，需要先在keycloak后台启用它，并开启“默认”选项【默认是对新用户来说的，老用户不受这个值的控制，就是说你新建一个requiredAction，没有任何规则，如果你开启+默认，那它只对全部新建用户有效】
  
• 要想对某些规则的用户启用它，需要在form表单认证时，添加对应的业务逻辑，可以添加自定义的"Authenticator"来实现这个逻辑，尽量不修改之前的核心代码。
  
• 当前用户实行的RequiredAction步调，会在数据表user_required_action中存储，用户每次登录都会检查这个表的状态，如果用户存在这表里，你的对应的RequiredAction关闭了，事实上，当前这个老用户在登录时依然会走这个RequiredAction逻辑。
  
• 注意，这个user_required_action表产生的数据会有缓存，只删除数据表记载是不起作用的，需要重启keycloak
  
• 这个user_required_action表里对应的用户数据，当用户成功验证后，这条数据会被删除，下次用户再登录，就不会出现required_action了
  

1.   if(context.getUser().getUsername().startsWith("test")){
2.     context.getUser().addRequiredAction(UpdatePhoneNumberRequiredAction.PROVIDER_ID);
3.   }
4.   context.success();

复制代码

好了，到目前来说，咱们用户名登录时，前缀为test的用户，都会走这个手机验证的界面了，在验证成功前，用户是不能直接登录的。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4