keycloak关于社区认证它有统一的设计,社区认证包罗了github,microsoft,wechat,qq,dingtalk等等,当然你还可以扩展很多实现了oauth2协议的第三方社区,将它们对接到keycloak上面来,这变得十分容易;社区认证一般由3个提供者社区,主要如下:
- 社区服务提供者,继续了AbstractOAuth2IdentityProvider抽象类,实现了SocialIdentityProvider接口
- 社区服务First Login Flow,当社区用户与keycloak用户没有建立关联时,会走这个流程
- 社区服务Post Login Flow,当社区用户与keycloak建立关系后,在实验完社区服务提供者回调方法后,会走这个流程,完成社区认证最后的步骤
社区认证流程
- 用户在keycloak认证平台,点击第三方社区登录链接
- 跳转到第三方之后,用户在第三方完成登录
- 第三方让用户进行确认,是否公开自己的信息,用户同意之后,302重定向到keycloak社区接口
- 社区接口中通过第三方传回的code进行用户token的获取
- 根据用户token,调用第三方用户接口,获取第三方用户公开的信息
- 完成keycloak社区认证
- 根据用户属性信息
- 走post login flow流程
- 走token生成流程,根据client scope的mapper进行token字段的构建
- 完成登录后,302到目标页,带上keycloak颁发的授权码
- 目标网站,根据授权码,获取keycloak的token接口获取token
社区绑定事件FEDERATED_IDENTITY_LINK的扩展
- 具体实验的方法:org.keycloak.services.resources.IdentityBrokerService.afterFirstBrokerLogin方法
- 添加自定义事件元素:event.detail(Details.IDENTITY_PROVIDER_USERNAME, context.getBrokerUserId());
社区认证绑定用户属性的方式
当社区用户绑定keycloak用户后,社区的信息在登录后,可以自动将它们写到用户属性表里,我们可以通过以下方式来实现
- AbstractJsonUserAttributeMapper的实现类,并通过META-INF/services/org.keycloak.broker.provider.IdentityProviderMapper 来注入它
- 直接在SocialIdentityProvider具体社区实现类中,重写updateBrokeredUser方法,进行两种用户模块的映射
社区认证时的state参数构成
1 社区登录回调state参数,默认由3个参数的拼接而组成,分别是state随机数,tableId和clientId,而假如我们希望扩展它,让它支持4个参数,可以这样操作:
- org.keycloak.broker.provider.util.IdentityBrokerState类中encoded方法
2 构建社区登录地址时添加自定义state参数
- AbstractOAuth2IdentityProvider类中createAuthorizationUrl方法,修改state参数的拼接
- String state = request.getState().getEncoded();
- if (request.getAuthenticationSession().getAuthNote("g") != null &&
- request.getAuthenticationSession().getAuthNote("g").trim() != "") {
- state = state + "." + request.getAuthenticationSession().getAuthNote("g");
- }
3 在认证乐成后federatedIdentityContext上下文添加参数
- AbstractOAuth2IdentityProvider类中Endpoint.authResponse方法,再返回之前为federatedIdentity添加groupId参数
- // 添加集团代码
- String[] decoded = DOT.split(state, 4);
- if (decoded.length == 4) {
- federatedIdentity.setUserAttribute("g", decoded[3]);
- }
社区认证中用户同步的模式
- LEGACY(传统模式):
- 在传统模式下,Keycloak 会尝试从外部身份提供程序导入用户,但假如在 Keycloak 中找不到匹配的用户,则会创建新用户。
- 假如在外部提供程序中删除了用户,Keycloak 不会自动删除相应的用户帐户,而是将其标记为禁用状态。
- IMPORT(导入模式):
- 在导入模式下,Keycloak 会从外部身份提供程序导入用户,但不会创建新用户。它只会更新现有效户的属性,确保与外部提供程序同步。
- 假如在外部提供程序中删除了用户,Keycloak 不会自动删除用户帐户,而是将其标记为禁用状态。
- FORCE(逼迫模式):
- 在逼迫模式下,Keycloak 会逼迫实验与外部身份提供程序的完全同步。这意味着它会创建新用户,更新现有效户的属性,同时还会禁用或删除在 Keycloak 中找不到的用户。
- 逼迫模式确保Keycloak中的用户与外部提供程序中的用户保持完全同步。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
