如何给 Keycloak 用户加上“部门”、“电话”等自定义属性

已于 2023-08-16 09:14:52 修改
阅读量790 收藏 2
点赞数 3
分类专栏: Linux 架构 网站 文章标签: keycloak linux 用户管理
于 2023-08-15 17:48:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/surfirst/article/details/132280506
版权
架构 同时被 3 个专栏收录
88 篇文章 4 订阅
订阅专栏
Linux
24 篇文章 1 订阅
订阅专栏
网站
13 篇文章 0 订阅
订阅专栏

Keycloak 是一款开源的用户认证和授权软件。在默认安装情况下,它只给新创建的用户提供了 email 属性,但是在许多应用场景中,客户都会要求给新创建的用户增加诸如“部门”、“电话”等自定义属性。

本文会介绍如何给 keycloak 中新创建的用户添加自定义属性,以及如何在前端中访问到这些属性。

给新用户添加自定义属性

首先通过类似下面的网址访问 keycloak

  • https://your_keycloak_ip/auth

如下图所示,点击 users 菜单

在这里插入图片描述
系统会呈现用户列表。选择某个用户,点击 edit
在这里插入图片描述
下图中是点击了 admin 用户的 edit 后,系统呈现的画面。然后选择 attributes,增加自定义属性。
在这里插入图片描述
如下图所示,添加了自定义属性后,选择 add,然后点击 save 完成自定义属性的添加。
在这里插入图片描述

在 client 里做 mapper

给用户添加了自定义属性以后,默认情况下这些属性不会包含在用户的 access token 里。我们需要给 keycloak 的 client 增加自定义属性和 token 中的 claim 之间的映射,让 keycloak 的 token 中包含我们定义好的自定义属性。

如下图所示,选择指定的 client 然后点击 edit 进行编辑。在本例中,我们的 client 的名称是 emsclient。
在这里插入图片描述
系统会呈现 emsclient 的详情。点击 mapper。
在这里插入图片描述
系统展示映射列表,点击 create 添加映射。
在这里插入图片描述
如下图所示,在选择映射类型 (mapper type) 时选择 user attribute来添加我们定义好了的用户属性。
在这里插入图片描述
按照下图推荐的流程把我们的自定义属性映射到 JWT token 里。
在这里插入图片描述
添加成功后,我们就可以检验。JWT token 里是否有我们需要的字段了。

下面是一个keycloak返回的 JWT token 的示例。可以看到最后的部分包含了我们自定义的“姓名”、“角色”、“电话”等属性 (attributes)。现在前端就可以通过 JWT 显示我们想要的用户信息了。

{
    "exp": 1692109592,
    "iat": 1692091592,
    "auth_time": 1692091570,
    "jti": "98c603b8-638f-49bd-9756-4a087c31fdc6",
    "iss": "https://your_keycloak_ip:port/auth/realms/ems",
    "sub": "4a1d2352-5d42-45e1-843b-5ab31545aa94",
    "typ": "Bearer",
    "azp": "emsclient",
    "nonce": "2bb75e79-cd90-4fc0-8235-1425e69b6fa4",
    "session_state": "9397e3b2-f700-4eb1-8465-5c6dade0acd0",
    "acr": "0",
    
    "realm_access": {
      "roles": [
        "default-roles-ems",
        "offline_access",
        "admin",
        "energyManager",
        "uma_authorization"
      ]
    },
      "emsclient": {
        "roles": [
          "ems-admin",
          "ems-energy-manager",
          "ems-dashboard"
        ]
      },
      "broker": {
        "roles": [
          "read-token"
        ]
      },
      "account": {
        "roles": [
          "manage-account",
          "view-applications",
          "view-consent",
          "manage-account-links",
          "delete-account",
          "manage-consent",
          "view-profile"
        ]
      }
    },
    "scope": "openid profile email",
    "姓名": "能效管理员",
    "角色": "管理员角色",
    "email_verified": false,
    "电话": "13800138000",
    "preferred_username": "admin",
    "locale": "zh-CN"
  }

结论

本文详细介绍了如何通过 keycloak 的 user attribute 特性给 JWT token 增加自定义属性的功能。通过这个功能,我们就可以给 keycloak 用户添加我们想要的属性了。

surfirst
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
keycloak-user-storage:Keycloak自定义用户存储
05-24
Keycloak用户存储SPI演示 这是有关如何将密钥斗篷连接到开箱即用的不受支持的用户存储类型/格式的演示。 (出于演示目的,使用外部MySQL数据库) 该分支中演示的解决方案使用手动构建的JPA连接。 该体系结构决策背后的原因是使用Java Persistence API时通常建立连接的方式。 通常,在与应用程序捆绑在一起的应用程序服务器上部署了一个persistence.xml文件。 这有一个主要缺点-连接是硬编码的,并且不同数据库的提供程序需要多次部署。 为了利用Keycloak中提供程序的实时运行时配置,我们需要一种在运行时构造JPA连接的方法。 设置 要求 安装了Java的当前版本(最好是JDK11或13) 安装了当前版本的Docker(用于MySQL服务器) Java IDE(例如 , , , ) 测试对REST Api的请求 密钥斗篷实例 入门 部署用户
(四)keycloak 自定义用户(SPI)开发
07-27 3953
keycloak自定义用户
Keycloak自定义实现第三方登录
austindev的博客
07-26 6200
Keycloak自定义实现第三方登录 第三方Oauth登录 由于对接的第三方IDP不一定都是标准的openid connect实现,所以都需要根据第三方的Oauth文档进行定制; Keycloak对于新增Social IDP的实现,都是标准,以及灵活的; 我们完全可以参照 Keycloak 本身已实现的Github LinkedIn等,快速实现我们的需求; 我们这里以酷家乐的Oauth2 接口进行说明 酷家乐 Oauth2接口分析 请求code的参数及返回都是标准的,这里无需进行修改 换取token接
KeyCloak自定义用户(SPI)开发,连接postgresql数据库,自定义连接配置,权限授权
qq_41504081的博客
08-17 1873
keycloak自定义用户(SPI)开发,连接Postgresql,外部存储,权限授予,自定义数据库连接配置
jwt简介
花&败
11-28 635
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(s
jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证
weixin_35411438的博客
12-24 561
引语最近正好在独立开发一个后台管理系统,涉及到了基于Token的身份认证,自己边学边用边做整理和总结,对基于JWT实现的Token的身份认证做一次相对比较全面的认识。一、基于session的跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。用户向服务器发送用户名和密码。验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。服务器向用户返回session_id,se...
SpringBoot 集成 Keycloak 并获用户和取授权信息
CodingDemo
07-06 1125
Spring boot 集成 keycloak ,获取 授权用户的具体信息
keycloak 10 为access_token添加额外信息
weixin_43394129的博客
12-10 161
一.介绍   用户请求受保护的api程序时,会带上access_token去访问,受保护的api程序会检查access_token, 如何获取到access_token中有用的额外信息呢,如用户ID,用户姓名。当拿到一个access_token去解析(jwt在线解密)成json格式,会发现sub是用户ID,preferred_username是用户的UserName,分别对应如下:   如...
raincatcher-keycloak-theme:为Keycloak登录屏幕创建自定义主题以使用移动应用程序
02-04
4. **启用自定义主题**:登录Keycloak管理控制台,导航到“设置”>“全局属性”>“默认主题”。从下拉菜单中选择你的新主题`raincatcher`。 5. **测试和调整**:保存设置后,访问Keycloak的登录页面,你应该能看到...
keycloakify:提供一种自定义Keycloak登录并使用React注册页面的方法
03-06
如果我们可以设计登录和注册页面,使其看起来像是应用程序的一部分,同时又让Keycloak处理实际验证用户的繁重工作,那不是很好吗? 这是yarn add keycloakify为您yarn add keycloakify :cocktail_glass: 待办事项:...
keycloak-phone-provider:一个Keycloak提供者,可以通过电话和短信
05-23
Keycloak电话提供商 电话支持,如电子邮件 通过电话进行OTP 用手机注册 电话认证 短信语音电话一键登录 使用此提供程序,您可以基于发送到用户手机的验证令牌来实施身份验证策略。 当前,有Twilio和TotalVoice以及...
keycloak-sso:自定义帐户管理模板,keycloak身份验证和授权
01-29
keycloak-react支持安全应用程序使用的OpenIdConnect协议,该协议使用keycloak javascript适配器并将令牌发送到服务。 keycloak-backend-springbootsecurity支持对安全应用程序的OpenIdConnect协议,该协议使用...
keycloak-操作keycloak数据库添加用户及密码
最新发布
YSTXDONG的专栏
03-04 935
keycloak连接本地数据库的方法:连接数据库后,用户数据表:user_entity密码数据表:credentialkeycloak版本:23.0.7。
Keycloak详细教程
q64261750的博客
08-27 1万+
Keycloak 安装&初始化 下载 只需前往 http://www.keycloak.org/downloads.html ,按需进行下载。 笔者下载的是“Standalone server distribution” 。 安装&启动 安装Keycloak非常简单,步骤如下: 解压下载下来的安装包 将目录切换到KEYCLOAK_PATH/bin ,其中KEYCLOAK_PATH是您Keycloak的根目录 执行./standalone.sh ,即可启动Keycloak,如需后台运行,则
Keycloak 基本功能
热门推荐
Allen技术小站
07-02 1万+
Keycloak是一个致力于解决应用和服务身份验证与访问管理的开源工具。可以通过简单的配置达到保护应用和服务的目的。 用户管理 你的应用不需要开发登录模块,验证用户和保存用户Keycloak开发了用户管理,登录,注册,密码策略,安全问题,二步验证,密码重置等功能。登录,注册界面所需字段都是可配置,可自定义的。 用户角色,权限管理功能,用户组功能。用户sessions管理。 单点登录/登出...
Keycloak自定义REST扩展-通过用户属性进行用户搜索
austindev的博客
10-19 1736
Keycloak自定义REST扩展-通过用户属性进行用户搜索 需求背景 项目中用户和组织架构管理都是依托以Keycloak,但是Keycloak内置的用户搜索功能不满足需求,需要根据用户属性值进行搜索,比如手机号; Keycloak内置API能力代码走读 Keycloak 官方文档 看官方文档,貌似提供了search搜索查询 services\src\main\java\org\keycloak\services\resources\admin\UsersResource.java model\j
java实现keycloak用户管理
MRLEE1212的博客
07-15 4101
配置项: @Value("${keycloak.auth-server-url}") private String url; @Value("${kc.master.realm.user.name}") private String adminUserName; @Value("${kc.master.realm.user.password}") ...
近期keycloak、nginx、https杂记
程序员涂小哥的技术博客
09-11 3255
一、keycloak和nginx部署问题 1.问题描述 单独使用keycloak进行sso,在本地可以正常的单点登录。 但部署到nginx,并且经过spring gateway时,却在输入用户名、密码之后抛出401错误码,提示no state cookie。 2.解决思路 经观察,发现正常情况下单点登录的请求url和参数中redirect_url是一致的,而经过nginx和spring gatew...
软件架构图该怎么画?架构设计如何标准化?
surfirst的博客
06-19 1万+
本文试图回答以下问题: 1. 如何标准化软件架构设计? 2. 如何把软件架构设计拆解成一个个小任务,渐进完成,辅助敏捷开发? 3. 如何共享软件架构设计内容,让团队成员都能更新,而不只是存在于架构师的PPT里?...
k8s部署keycloak,自定义
12-24
Kubernetes(简称k8s)是一个开源的容器编排引擎,可以用于自动化部署、扩展和管理容器化应用程序。Keycloak是一个开源的身份和访问管理解决方案,它提供了诸如单点登录(SSO)、多因素身份验证、授权等功能。在k8s环境中部署和自定义Keycloak可以帮助我们更好地管理和保护我们的应用程序。 首先,在k8s集群中部署Keycloak的步骤包括创建一个Deployment来运行Keycloak容器、创建一个Service将Keycloak容器暴露出来、配置Ingress来管理Keycloak的访问。可以通过编写YAML文件来定义Deployment、Service和Ingress资源,然后使用kubectl命令将其部署到k8s集群中。 其次,自定义Keycloak可以包括配置主题、引入自定义的身份提供者、定义客户端等。通过在Keycloak管理后台进行相应的配置,我们可以定制化Keycloak的外观和行为,以满足具体的业务需求。 最后,在部署和自定义Keycloak时需要注意的问题包括配置数据库、管理用户、设置安全策略等。我们需要选择合适的数据库作为Keycloak的持久化存储,并根据实际情况管理用户的访问权限。此外,为了保证应用程序的安全性,我们还需要设置适当的安全策略和监控机制。 总之,通过在k8s集群中部署和自定义Keycloak,我们可以实现统一的身份和访问管理,并且能够满足不同应用程序的特定需求。这不仅可以提高系统的安全性和可靠性,还可以简化用户的身份管理和访问控制流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

surfirst

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值