Keycloak 入门使用第二篇

最新推荐文章于 2023-12-19 17:50:50 发布

发飙的蜗牛~

最新推荐文章于 2023-12-19 17:50:50 发布

阅读量8.5k

点赞数 7

分类专栏： keycloak

本文链接：https://blog.csdn.net/little_kelvin/article/details/111303674

版权

keycloak 专栏收录该内容

2 篇文章 1 订阅

订阅专栏

Keycloak 入门使用第二篇

在上一篇介绍了Keycloak的基本使用 Keycloak入门使用第一篇，本文会继续介绍keycloak的其他内容。

User Storage SPI

如果你不想所有的用户数据都存储在keycloak的数据库中，你想要用户的部分数据存储在你自己的数据库。Keycloak提供联合存储来解决这种情景，通过实现User Storage SPI接口，可以做到将部分用户数据存储到你自己的数据库中，而另一部分用户数据存储在keycloak的数据库中。

UserStorageProvider简介

SPI 接口	实现功能
UserStorageProvider	自定义的StorageProvider必须要实现的接口
UserLookupProvider	实现后，可以根据userId/username从你自己的数据中查询用户数据
UserRegistrationProvider	实现后，可以往自己数据库中增加删除修改用户数据
CredentialInputUpdater	实现后，可以更新密码
CredentialInputValidator	验证密码的逻辑
UserQueryProvider	从自己数据库中查询用户

关于这个这里就不show出代码具体讲解了。有需要可以查看我github的例子，有两个例子，一个是根据官方文档实现的一个demo，另一个是参考网上资料实现的结合JPA的一个例子
github User Storage SPI 例子
 官方User Storage SPI 文档

Java Admin API

Keycloak提供 Rest API 用于管理keycloak几乎所有的用户认证授权数据对象，如创建用户、查询用户、创建角色、查询会话等的API.
Keycloak Rest API

另外，Keycloak将这些Rest Api封装成了一个java库，你只要提供keycloak服务器连接信息，就可以直接调用java api 去操作keycloak数据对象了。

		<dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-admin-client</artifactId>
            <version>11.0.2</version>
        </dependency>

第一步，传入连接信息，构造上限文对象

package com.kelvin.adminclient;

import org.jboss.resteasy.client.jaxrs.ResteasyClientBuilder;
import org.keycloak.admin.client.Keycloak;
import org.keycloak.admin.client.KeycloakBuilder;

public class KeycloakHelper {
    private static Keycloak keycloak;

    public static Keycloak getInstance() {
        if (keycloak == null) {
            synchronized (KeycloakHelper.class) {
                keycloak = initialKeycloakClient();
            }
        }
        return keycloak;
    }

    private static Keycloak initialKeycloakClient() {
        return KeycloakBuilder.builder()
                .serverUrl("http://localhost:8080/auth")
                .realm("master")
                .username("admin")
                .password("admin")
                .clientId("admin-cli")
                .resteasyClient(new ResteasyClientBuilder().connectionPoolSize(10).build())
                .build();
    }
}

第二步，操作对象即可。例如查询所有的realm

public class KeycloakDemo {
    public static void main(String[] args) {
        List<RealmRepresentation> realms = KeycloakHelper.getInstance().realms().findAll();
        for (RealmRepresentation realm : realms) {
            System.out.println(realm.getId());
        }
    }
}

参考 Admin Api Sample

踩坑

这部分记录一下自己遇到的一些坑以及一些小知识点吧

实现ajax请求session 过期以后提示用户session 过期

router.all('*', async (ctx, next) => {
    if (_checkSkippedUrl(ctx.originalUrl)) {
      await next()
    } else {
      const { request } = ctx
      if (_isAjaxRequest(ctx) && (!request.kauth || !request.kauth.grant)) {
        ctx.status = 401
      } else {
        return keycloakProtect(ctx, next)
      }
    }
  }

如果是ajax请求，而且session过期（看源码就知道 request.kauth.grant是underfined）就返回401，那么在前端页面拦截reponse的code是401，则弹出session过期提示。

实现多个web server一致logout
使用token这种机制，我们都希望的是单点登录。比如我有两个web服务，在一个服务登录成功以后，那么访问另一个服务就不用登录；同理我在一个服务退出登录了，那么另一个服务应该也要退出登录。

Keycloak提供了一个admin url，对于两个web sever，我需要注册两个client，在client里面都需要设置admin url.
在这里插入图片描述
那么当一个服务退出登录的时候，keycloak会找到该realm下所有配置了admin url的client，并且想这些client发送请求(adminUrl/k_logout)，通知他们对应的web server将自己session中的token删除，从而实现一致退出登录。

查看源码可以知道有一个中间件里面就有一个 /k_logout的api，用于接收keycloak的退出请求。

统计在线用户数
使用redis存储session，然后统计session的个数就行了。但是如果的多client连接keycloak的话，就会有一些坑在里面。

const RedisStore = require('koa-redis')
 const redisStore = new RedisStore(redisConfig)
  const keycloak = new Keycloak(
    {
      store: redisStore
    },
    keycloakConfig
  )

const Redis = require('redis')
const RedisStore = require('connect-redis')(session)
const redisStore = new RedisStore({client: Redis.createClient(redisConfig), prefix: sessionIdPrefix})
  const keycloak = new KeycloakConnect({store: redisStore}, keycloakConfig)