Keycloak自定义实现第三方登录

最新推荐文章于 2023-11-21 19:15:00 发布
最新推荐文章于 2023-11-21 19:15:00 发布
阅读量6.1k 收藏 8
点赞数 1
分类专栏: WebServer webdesign 文章标签: keycloak java Social
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/austindev/article/details/119113923
版权

Keycloak自定义实现第三方登录

第三方Oauth登录

  • 由于对接的第三方IDP不一定都是标准的openid connect实现,所以都需要根据第三方的Oauth文档进行定制;
    Keycloak对于新增Social IDP的实现,都是标准,以及灵活的;
    我们完全可以参照 Keycloak 本身已实现的Github LinkedIn等,快速实现我们的需求;

我们这里以酷家乐的Oauth2 接口进行说明

酷家乐 Oauth2接口分析

  • 请求code的参数及返回都是标准的,这里无需进行修改在这里插入图片描述
  • 换取token接口,由于返回参数进行data的wrap,以及字段名为驼峰的,所以需要对这部分进行修改定制

在这里插入图片描述

  • 获取用户信息

由于获取用户信息,还需要额外请求用户的OpenId,所以需要对该部分进行修改

在这里插入图片描述

在这里插入图片描述

定制Provider

提供工程类: KujialeIdentityProviderFactory

工厂类完全可以从GitHubIdentityProviderFactory 拷贝过来,修改成自己 PROVIDER_ID, NAME 以及create自己的Provider

public class GitHubIdentityProviderFactory extends AbstractIdentityProviderFactory<GitHubIdentityProvider> implements SocialIdentityProviderFactory<GitHubIdentityProvider> {

    public static final String PROVIDER_ID = "github";

    @Override
    public String getName() {
        return "GitHub";
    }

    @Override
    public GitHubIdentityProvider create(KeycloakSession session, IdentityProviderModel model) {
        return new GitHubIdentityProvider(session, new OAuth2IdentityProviderConfig(model));
    }

    @Override
    public OAuth2IdentityProviderConfig createConfig() {
        return new OAuth2IdentityProviderConfig();
    }

    @Override
    public String getId() {
        return PROVIDER_ID;
    }
}

解析accessToken 以及获取用户信息

在这里插入图片描述

解析用户信息

在这里插入图片描述

KujialeIdentityProvider 完整代码

public class KujialeIdentityProvider extends AbstractOAuth2IdentityProvider implements SocialIdentityProvider {

    public static final String AUTH_URL = "https://oauth.kujiale.com/oauth2/show";
    public static final String TOKEN_URL = "https://oauth.kujiale.com/oauth2/auth/token";
    public static final String OPENID_URL = "https://oauth.kujiale.com/oauth2/auth/user";
    public static final String PROFILE_URL = "https://oauth.kujiale.com/oauth2/openapi/user";
    public static final String DEFAULT_SCOPE = "get_user_info";

    public static final String OAUTH2_PARAMETER_ACCESS_TOKEN = "accessToken";

    public KujialeIdentityProvider(KeycloakSession session, OAuth2IdentityProviderConfig config) {
        super(session, config);
        config.setAuthorizationUrl(AUTH_URL);
        config.setTokenUrl(TOKEN_URL);
        config.setUserInfoUrl(PROFILE_URL);
    }

    @Override
    protected boolean supportsExternalExchange() {
        return true;
    }

    @Override
    protected String getProfileEndpointForValidation(EventBuilder event) {
        return PROFILE_URL;
    }

    @Override
    protected String getDefaultScopes() {
        return DEFAULT_SCOPE;
    }

    /**
     * 提取酷家乐用户信息,转换为keycloak用户实体
     *
     * @param event
     * @param profile
     * @return
     */
    @Override
    protected BrokeredIdentityContext extractIdentityFromProfile(EventBuilder event, JsonNode profile) {

        if (!profile.has("d") || profile.get("d").isEmpty()) {
            throw new NullPointerException("kujiale idp user info response is null " + profile.toString());
        }

        JsonNode userNode = profile.get("d");

        String openId = getJsonProperty(userNode, "openId");
        if (openId == null || openId.isEmpty()) {
            throw new NullPointerException("kujiale idp user info is null " + userNode.asText());
        }

        BrokeredIdentityContext user = new BrokeredIdentityContext(openId);
        String userName = userNode.get("userName").asText();

        user.setUsername(userName);
        user.setFirstName(userName);
        user.setIdpConfig(getConfig());
        user.setIdp(this);
        AbstractJsonUserAttributeMapper.storeUserProfileForMapper(user, userNode, getConfig().getAlias());
        return user;
    }

    /**
     * 构建获取酷家乐用户信息的请求 暂不支持
     *
     * @param subjectToken
     * @param userInfoUrl
     * @return
     */
    @Override
    protected SimpleHttp buildUserInfoRequest(String subjectToken, String userInfoUrl) {
        return SimpleHttp.doGet(userInfoUrl, session)
                .header("Authorization", "Bearer " + subjectToken);
    }

    /**
     * 获取酷家乐用户信息
     *
     * @param response
     * @return
     */
    @Override
    public BrokeredIdentityContext getFederatedIdentity(String response) {

        String accessToken;
        try {
            JsonNode resNode = asJsonNode(response);
            accessToken = extractTokenFromResponse(resNode.get("d").toString(), OAUTH2_PARAMETER_ACCESS_TOKEN);
        } catch (Exception ex) {
            throw new IdentityBrokerException("No access token available in OAuth server response: " + response);
        }

        if (accessToken == null) {
            throw new IdentityBrokerException("No access token available in OAuth server response: " + response);
        }

        BrokeredIdentityContext context = doGetFederatedIdentity(accessToken);
        context.getContextData().put(FEDERATED_ACCESS_TOKEN, accessToken);
        return context;
    }

    protected BrokeredIdentityContext doGetFederatedIdentity(String accessToken) {
        BrokeredIdentityContext context = null;

        try {
            JsonNode openidResponse = generateOpenIdRequest(accessToken).asJson();
            String openId = openidResponse.get("d").asText();
            if (openId == null) {
                throw new Exception("Can not get openId from kujiale IDP");
            }
            JsonNode profile = generateUserInfoRequest(accessToken, openId).asJson();
            context = extractIdentityFromProfile(null, profile);
        } catch (Exception ex) {
            logger.warn("Cannot GetFederatedIdentity from kujiale IDP, error " + ex.getMessage());
        }

        return context;
    }

    public SimpleHttp generateOpenIdRequest(String accessToken) {
        SimpleHttp openIdRequest = SimpleHttp.doGet(OPENID_URL, session)
                .param("access_token", accessToken);
        return openIdRequest;
    }

    public SimpleHttp generateUserInfoRequest(String accessToken, String openId) {
        SimpleHttp openIdRequest = SimpleHttp.doGet(PROFILE_URL, session)
                .param("open_id", openId)
                .param("access_token", accessToken);
        return openIdRequest;
    }

}

定制属性映射: IdentityProviderMapper

其实属性映射,本质上只是新增个说明,我们的Provider支持 Import Attribute,
所以代码都是模板代码

public class KujialeUserAttributeMapper extends AbstractJsonUserAttributeMapper {

    private static final String[] cp = new String[]{KujialeIdentityProviderFactory.PROVIDER_ID};

    @Override
    public String[] getCompatibleProviders() {
        return cp;
    }

    @Override
    public String getId() {
        return "kujiale-user-attribute-mapper";
    }

}

添加META-INF

添加
org.keycloak.broker.social.SocialIdentityProviderFactory

内容为:自己的ProviderFactory全类名

添加
org.keycloak.broker.provider.IdentityProviderMapper

内容为 自己Mapper的全类名

NoClassDefFoundError报错

在这里插入图片描述

相关问题链接
https://stackoverflow.com/questions/57778240/noclassdeffounderror-in-a-provider-jar-when-using-a-class-from-org-keycloak-auth

解决方法

<plugin>
    <groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-jar-plugin</artifactId>
    <configuration>
        <archive>
            <manifestEntries>
                <Dependencies>org.keycloak.keycloak-services</Dependencies>
            </manifestEntries>
        </archive>
    </configuration>
</plugin>

部署Provider及配置使用

部署

拷贝到 /standalone/deployments中,重启服务

重启服务后,到 Admin ==> server info 确认新增的Provider生效

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

配置

新增IDP在这里插入图片描述

设置属性mapper

在这里插入图片描述

可以设置默认使用的IDP

在这里插入图片描述

第一次登录,会自动创建用户已经,导入对应的属性信息

在这里插入图片描述

属性:

在这里插入图片描述

关联的IDP信息
在这里插入图片描述

austindev
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Spring Boot/Angular整合Keycloak实现单点登录功能
08-25
Keycloak新的发行版命名为Quarkus,专为GraalVM和OpenJDK HotSpot量身定制的一个Kurbernetes Native Java框架,计划2019年底正式发布。这篇文章主要介绍了Spring Boot/Angular整合Keycloak实现单点登录,需要的朋友可以参考下
keyclock实现三方登录
最新发布
m0_55045698的博客
07-03 521
因此,先需要跟公司keyclock管理员联系,让他把各个端点url,keycloak颁发的client_id和client_secret都给你,并让三方管理员设置好我们需要重定向的地址后,就可以通过postman模拟整个操作过程了。公司希望我把公司的keycloak作为新项目的一种第三方登录方式时,就像微信,google,github,使用keycloak上的账户资源。当然上面只是用postman来拿信息,你也可以直接解析第二步返回回来的一些token值,也可以直接拿到对应的信息。
keycloakify:提供一种自定义Keycloak登录并使用React注册页面的方法
03-06
:locked_with_pen: 用于Reacts应用程序的Keycloak主题生成器 :locked_with_pen: !!! 该模块正在积极开发中。 它还不能使用!!! 动机 问题: 当我们重定向到Keycloak时,用户会遭受苛刻的上下文切换。 在je登录/注册页面上,语言已设置为默认语言,主题与应用程序上的主题不同。 Keycloak确实提供了一种自定义这些页面的方法,但是它需要大量原始HTML / CSS骇客才能重现特定应用程序的外观。 更不用说这种努力的维护成本了。 如果我们可以设计登录和注册页面,使其看起来像是应用程序的一部分,同时又让Keycloak处理实际验证用户的繁重工作,那不是很好吗? 这是yarn add keycloakify为您yarn add keycloakify :cocktail_glass: 待办事项:在之后插入视频。 如何使用 设置构建工具 将keycloakify添加到项目的dev依赖项中npm install --sa
使用keycloak自定义SPI接入外部用户登录
qq_41916305的博客
09-24 2541
如果keycloak启动正常,打开控制台,点击左侧的 用户联合菜单,右侧的下拉列表中就能看到我们刚才添加的提供器,名字为 custom-user-provider。1、准备用户表,这些字段是必须的,不过字段名可以自定义,会在自定义的SPI中固定字段名,查询数据库的字段需要映射到实体的字段。6、创建提供者工厂,在keycloak管理界面添加用户联盟时的自定义的配置信息,主要是数据库连接。查看效果,点击用户然后查看所有能够查看到数据库的用户,然后就能用数据库的用户进行登录了!
keyclock==纯java实现第三方登录
hebian1994的博客
06-18 952
往realm中添加用户myuser,并设置密码为test。显然也需要将回调地址和来源地址在超管控制台加上。根据官方教程就发现登录成功并且回调回来了。初始化超管账号密码admin admin。第三步认证成功,回调到callback。可以看到myuser自己的一些信息。第二步手动在登录页面输入账号密码。登录myuser的界面。项目的根路径也要改成/参照readme文件。打开ADMIN页面配置。自己用java代码实现
keycloak 自定义登录页面
热门推荐
hhj724的专栏
05-08 1万+
keycloak 自定义登录页面详细步骤如下: 因为keycloak是jboss开发的,使用FTL后缀开发前端文件,可能根据以下方式实现 keycloak将前端页面分为四类:按类设置主题。 •Account - Account management •Admin - Admin console •Email - Emails •Login - Login forms,包含注册。 ...
keyCloak自定义登陆页主题以及图形验证码(数字字母以及混合验证)
大气的土豆泥
03-29 5504
** keyCloak自定义登陆页主题以及图形验证码(数字字母以及混合验证) ** 一,下载以及配置keycloak 1),下载keycloak:https://www.keycloak.org/downloads.html ; 2),下载完毕之后,打开文件,访问 bin 路径,点击 standalone.bat 打开; 3),访问 http://localhost:8080/auth/ 即可进入keycloak配置后台。详情配置以及集成请看 https://www.cnblogs.com/moutudou
keycloak-idp-auth2:示例项目用于演示如何扩展Keycloak以添加新的IDP代理实现(此处为OAuth2)
05-10
(这里缺少OAuth2实现) 请参阅OAuthIdentityProvider#extractIdentityFromProfile以获取修改属性以从响应中检索建立资源mvn clean installDocker安装docker build -t custom-keycloak:4.0.0.Final .docker export...
keycloak-10.0.1.zip
05-12
4. **社交登录**:可以通过Facebook、Google等社交账号进行登录,实现第三方身份提供商的集成。 5. **API保护**:Keycloak能为RESTful API提供安全保护,通过OAuth 2.0和OpenID Connect协议进行身份验证和授权。 6. ...
使用keycloak配置单点登录
06-07
使用开源keycloak配置单点登录,对接zabbix、jumpserver等平台
keycloak-react-theming:提供一种自定义Keycloak登录并使用React注册页面的方法
03-05
:locked_with_pen: 用于Reacts应用程序的Keycloak主题生成器 :locked_with_pen: !!! 该模块正在积极开发中。 它还不能使用!!! 动机 问题: 当我们重定向到Keycloak时,用户会遭受苛刻的上下文切换。 在je登录/注册页面上,语言已设置为默认语言,主题与应用程序上的主题不同。 Keycloak确实提供了一种自定义这些页面的方法,但是它需要大量原始HTML / CSS骇客才能重现特定应用程序的外观。 更不用说这种努力的维护成本了。 如果我们可以设计登录和注册页面,使其看起来像是应用程序的一部分,同时又让Keycloak处理实际验证用户的繁重工作,那不是很好吗? 这是yarn add keycloak-react-theming为您yarn add keycloak-react-theming :cocktail_glass: 待办事项:在之后插入视频。 如何使用 设置构建工具 将keycloak-react-the
SSO单点登录.zip
03-29
- **OAuth** 和 **OpenID Connect**:是两种常见的授权协议,它们允许第三方应用安全地获取用户的资源,同时保持用户的身份验证。 - **JWT(JSON Web Tokens)**:是一种轻量级的安全身份验证标准,可以用于传输...
接入keycloak实现单点登录
你好!刘斩仙
11-21 730
1.如果跨域在keycloak管理中心Clients-Client details-Settings-Web origins添加浏览器访问地址就行。
keycloak自定义登陆主题 以及 keyclock项目中的ftl模板中的相应配置
q1ngqingsky的博客
03-11 3802
keycloak 自定义登录页面详细步骤如下: 因为keycloak是jboss开发的,使用FTL后缀开发前端文件,可能根据以下方式实现 keycloak将前端页面分为四类:按类设置主题。 •Account - Account management •Admin - Admin console •Email - Emails •Login - Login forms,包含注册。 主题配置 可以为不同的 Realm 分别设置主题, 进入keycloak管理控制台, 选择要配置主题的 R
单点登录keycloak部署
weixin_45805888的博客
04-12 3011
keycloak
杂记 | 使用keycloak实现SSO单点登录(新手向,概念、原理、逻辑、详细步骤、难点解释)
野生猿林仔的博客
07-04 8387
使用keycloak实现SSO单点登录(概念、原理、逻辑、详细步骤、难点解释)
自定义登陆页面和主页
chouxi8731的博客
08-13 394
1、添加模版引擎 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</ar...
k8s部署keycloak,自定义
12-24
Kubernetes(简称k8s)是一个开源的容器编排引擎,可以用于自动化部署、扩展和管理容器化应用程序。Keycloak是一个开源的身份和访问管理解决方案,它提供了诸如单点登录(SSO)、多因素身份验证、授权等功能。在k8s环境中部署和自定义Keycloak可以帮助我们更好地管理和保护我们的应用程序。 首先,在k8s集群中部署Keycloak的步骤包括创建一个Deployment来运行Keycloak容器、创建一个Service将Keycloak容器暴露出来、配置Ingress来管理对Keycloak的访问。可以通过编写YAML文件来定义Deployment、Service和Ingress资源,然后使用kubectl命令将其部署到k8s集群中。 其次,自定义Keycloak可以包括配置主题、引入自定义的身份提供者、定义客户端等。通过在Keycloak的管理后台进行相应的配置,我们可以定制化Keycloak的外观和行为,以满足具体的业务需求。 最后,在部署和自定义Keycloak时需要注意的问题包括配置数据库、管理用户、设置安全策略等。我们需要选择合适的数据库作为Keycloak的持久化存储,并根据实际情况管理用户的访问权限。此外,为了保证应用程序的安全性,我们还需要设置适当的安全策略和监控机制。 总之,通过在k8s集群中部署和自定义Keycloak,我们可以实现统一的身份和访问管理,并且能够满足不同应用程序的特定需求。这不仅可以提高系统的安全性和可靠性,还可以简化用户的身份管理和访问控制流程。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值