keycloak~关于社区登录的过程阐明

keycloak将第三方登录（社区登录）进行了封装，大体主要会经历以下三个过程：

• 打开社区认证页面，输入账号密码大概扫码，完成社区上的认证
  
• 由社区进行302重定向，回到keycloak页面
  
• keycloak与社区完成一次oauth2授权码认证，通过社区返回的code来获取token，再通过token来获取社区上的用户信息，在这个过程中，社区不必要向keycloak公开用户的密码，这也是oauth2的安全性的表现
  
• keycloak检查用户是否与本身本地用户绑定，假如未绑定，进入第一认证流进行注册大概绑定现在有用户，完成与社区的对应关系，在这个过程中，keycloak对发出FEDERATED_IDENTITY_LINK事件
  
• 用户完成绑定之后，进行后一认证流，完成登录之后再做的事，假如用户已经完成绑定，那么第一认证流就不会进入了
  

回调地址的扩展

• 当社区认证成功后，会跳转到keycloak的社区认证流
  
• 当keycloak社区认证流完成后，会走到标准认证流
  
• 标准认证流完成后，会重写向到来源页，并带上keycloak的code码
  
• 这时，来源页上有且只有code码这个参数，假如盼望扩展url上的参数，我们必要以下步调
  

在社区回调地址上添加loginType参数

• org.keycloak.services.resources.IdentityBrokerService.finishBrokerAuthentication()方法添加对loginType的操作
  

1. private Response finishBrokerAuthentication(BrokeredIdentityContext context, UserModel federatedUser,
2.                                               AuthenticationSessionModel authSession, String providerId) {
3.     authSession.setAuthNote(AuthenticationProcessor.BROKER_SESSION_ID, context.getBrokerSessionId());
4.     authSession.setAuthNote(AuthenticationProcessor.BROKER_USER_ID, context.getBrokerUserId());
6.     this.event.user(federatedUser);
8.     context.getIdp().authenticationFinished(authSession, context);
9.     authSession.setUserSessionNote("loginType", providerId);
10.     ...
11. }

复制代码

• org.keycloak.protocol.oidc.OIDCLoginProtocol.authenticated()方法中，获取loginType，并添加到回调路径的URL参数中
  

1.   code = OAuth2CodeParser.persistCode(session, clientSession, codeData);
2.   redirectUri.addParam(OAuth2Constants.CODE, code);
3.   // TODO: 登录成功后，将用户登录方式追加到回调页面上
4.   if (authSession.getUserSessionNotes().containsKey("loginType")) {
5.     String loginType = authSession.getUserSessionNotes().get("loginType");
6.     redirectUri.addParam("loginType", loginType);
7.   }

复制代码

FEDERATED_IDENTITY_LINK的美满

• 默认的绑定消息，内容比较少，不满意我们的需求
  

1. {
2.   "time": 1723099954167,
3.   "type": "FEDERATED_IDENTITY_LINK",
4.   "realmId": "fabao",
5.   "clientId": "pkulaw",
6.   "userId": "e62a4ea6-c1c3-4f10-9136-8ceebba45339",
7.   "sessionId": null,
8.   "ipAddress": "111.198.143.194",
9.   "error": null,
10.   "details": {
11.     "identity_provider": "carsi",
12.     "identity_provider_identity": "student@pku.edu.cn",
13.     "code_id": "6668189e-4cd6-488e-8582-d28b87636b41",
14.     "username": "phone202408081431274571"
15.   }
16. }

复制代码

扩展消息，必要按以下步调操作

• 在org.keycloak.services.resources.IdentityBrokerService.afterFirstBrokerLogin方法中添加以下代码
  

1.   // 社区绑定现在有用户后，发的事件FEDERATED_IDENTITY_LINK，我们需要添加一些扩展信息
2.   event.detail(Details.IDENTITY_PROVIDER, providerId);
3.   event.detail(Details.IDENTITY_PROVIDER_USERNAME, context.getBrokerUserId()); //event.detail(Details.IDENTITY_PROVIDER_USERNAME, context.getUsername());
4.   event.detail("identity_provider_username", context.getUsername());

复制代码

• 添加之后，我们为FEDERATED_IDENTITY_LINK事件消息添加identity_provider_username
  

1. {
2.   "time": 1723101725866,
3.   "type": "FEDERATED_IDENTITY_LINK",
4.   "realmId": "fabao",
5.   "clientId": "pkulaw",
6.   "userId": "347c9e9e-076c-45e3-be74-c482fffcc6e5",
7.   "sessionId": null,
8.   "ipAddress": "10.10.80.81",
9.   "error": null,
10.   "details": {
11.     "identity_provider": "carsi",
12.     "identity_provider_username": "student@pku.edu.cn",
13.     "identity_provider_identity": "6zETJRPrWiBi7B85cCHPoVD7dyI\u003d",
14.     "code_id": "c344f279-9786-468b-a67e-fecf39c531b0",
15.     "username": "test"
16.   }
17. }

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。