keycloak~巧用client-scope实现token字段和userinfo接口的授权

keycloak中的client-scope答应你为每个客户端分配scope，而scope就是授权范围，它直接影响了token中的内容，及userinfo端点可以获取到的用户信息，这块我们可以通过自定义scope/mapper，来实现粒度的控制，并且这个mapper可以控制添加到token，或者添加到userinfo端点，这两块配置也是独立的，下面我们通过一个登录IP地址的mapper，来实现将登录ip添加到token和userinfo端点。
添加Mapper对象

1. public class ExtensionLoginIpMapper
2.         extends AbstractOIDCProtocolMapper
3.         implements OIDCAccessTokenMapper, OIDCIDTokenMapper, UserInfoTokenMapper {
4.     public static final String CONFIG_NAME = "ExtensionLoginIp";//配置里的名称
5.     public static final String PROVIDER_ID = "oidc-extension-login-ip-mapper";
6.     private static final List<ProviderConfigProperty> configProperties = new ArrayList<ProviderConfigProperty>();
7.     private static final String LOGIN_IP = "loginIp";
9.     static {
10.         configProperties.add(createConfigProperty(CONFIG_NAME, "Token申请名", "在jwt中的属性名称，默认loginIp"));
11.         OIDCAttributeMapperHelper.addIncludeInTokensConfig(configProperties, ExtensionLoginIpMapper.class);
12.     }
14.     protected static ProviderConfigProperty createConfigProperty(String claimName, String label, String help) {
15.         ProviderConfigProperty property = new ProviderConfigProperty();
16.         property.setName(claimName);
17.         property.setLabel(label);
18.         property.setHelpText(help);
19.         property.setType(ProviderConfigProperty.STRING_TYPE);
20.         return property;
21.     }
23.     @Override
24.     protected void setClaim(IDToken token, ProtocolMapperModel mappingModel, UserSessionModel userSession,
25.                             KeycloakSession keycloakSession, ClientSessionContext clientSessionCtx) {
26.         try {
27.             String key = LOGIN_IP;
28.             if (mappingModel.getConfig().containsKey(CONFIG_NAME)) {
29.                 key = mappingModel.getConfig().get(CONFIG_NAME);
30.             }
32.             if (userSession.getNotes().containsKey(LOGIN_IP)) {
33.                 String val = userSession.getNote(LOGIN_IP);
34.                 token.setOtherClaims(key, val);
35.             }
37.         } catch (Exception e) {
38.             e.printStackTrace();
39.         }
40.     }
42.     public List<ProviderConfigProperty> getConfigProperties() {
43.         return configProperties;
44.     }
46.     @Override
47.     public String getId() {
48.         return PROVIDER_ID;
49.     }
51.     @Override
52.     public String getDisplayType() {
53.         return CONFIG_NAME;
54.     }
56.     @Override
57.     public String getDisplayCategory() {
58.         return TOKEN_MAPPER_CATEGORY;
59.     }
61.     @Override
62.     public String getHelpText() {
63.         return "Maps Extension Login Ip Address.";
64.     }
65. }

复制代码

将Mapper添加到Client Scope

• 添加 client scope
  

• 在client scope中添加mapper
  

设置access_token可见和userinfo可见

• Add to ID token
  
• Add to access token
  
• Add to access token
  

为客户端指定scope

• 这对于根据客户端来控制token和userinfo端点是非常必要的功能
  
• 这是oauth2授权的重要组成部分
  

通过oauth2中的密码认证时的注意点

• 客户端不能是同意必选的，这种客户端需要通过浏览器认证，由用户自己确认它公开的信息
  

通过token获取用户信息

• userinfo端点：/auth/realms/{realms}/protocol/openid-connect/userinfo
  
• 获取到时的用户信息中的字段，是通过scope来控制的
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。