keycloak User Storage SPI

已于 2023-04-19 10:31:02 修改
阅读量502 收藏 1
点赞数 2
分类专栏: keycloak 文章标签: 数据库 mysql java
于 2023-04-18 18:32:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51572314/article/details/130227939
版权

 一 , 二为官网内容简介,  三为楼主实战案例, 通过插件项目打成jar包去部署到keycloak二进制文件目录下完成jar包部署相关功能

目录

一, 简介

二, 流程概述

1.提供者接口

2. 提供者其他功能接口

3.用户模型接口

4. 打包和部署

 三, 实战案例

(1)表结构

(2)相关依赖

(3)创建自定义用户表的实体UserEntity

 (4)创建用户字段适配器 UserAdapter

(5)实现提供者类

 (6)实现工厂类

 (7)添加插件的配置

 (8) 打包部署

(9)最后页面效果展示

 (10)插件项目地址

一, 简介

您可以使用用户存储SPI向Keycloak 写入扩展,以连接到外部用户数据库和凭证存储。内置的LDAP和ActiveDirectory支持是此SPI的实际实现。开箱即用,Keycloak 使用其本地数据库来创建、更新和查找用户并验证凭据。然而,组织通常拥有现有的外部专有用户数据库,无法迁移到Keycloak 的数据模型。对于这些情况,应用程序开发人员可以编写用户存储SPI的实现,以连接外部用户存储和内部用户对象模型,Keycloak 使用该模型登录用户并管理用户。

当Keycloak运行时需要查找一个用户时,例如当一个用户正在登录时,它会执行许多步骤来定位该用户。 它首先查看用户是否在用户缓存中; 如果找到用户,它就使用内存中的表示。 然后它在Keycloak本地数据库中查找用户。 如果没有找到用户,则循环用户存储SPI提供程序实现来执行用户查询,直到其中一个实现返回运行时正在寻找的用户。 提供者为用户查询外部用户存储,并将用户的外部数据表示映射到Keycloak的用户元模型。

二, 流程概述

1.提供者接口

在构建用户存储SPI的实现时,您必须定义一个提供者类和一个提供者工厂。 提供者类实例由提供者工厂为每个事务创建。 提供者类执行所有繁重的用户查找和其他用户操作。 它们必须实现org.keycloak.storage.UserStorageProvider接口。

package org.keycloak.storage;

public interface UserStorageProvider extends Provider {


    /**
     * Callback when a realm is removed.  Implement this if, for example, you want to do some
     * cleanup in your user storage when a realm is removed
     *
     * @param realm
     */
    default
    void preRemove(RealmModel realm) {

    }

    /**
     * Callback when a group is removed.  Allows you to do things like remove a user
     * group mapping in your external store if appropriate
     *
     * @param realm
     * @param group
     */
    default
    void preRemove(RealmModel realm, GroupModel group) {

    }

    /**
     * Callback when a role is removed.  Allows you to do things like remove a user
     * role mapping in your external store if appropriate

     * @param realm
     * @param role
     */
    default
    void preRemove(RealmModel realm, RoleModel role) {

    }

}

每个事务创建一次UserStorageProvider实例。事务完成后,调用UserStorageProvider.close()方法,然后对实例进行垃圾收集。实例由提供程序工厂创建。提供程序工厂实现org.keyclok.storage.UserStorageProviderFactory接口。

package org.keycloak.storage;

/**
 * @author <a href="mailto:bill@burkecentral.com">Bill Burke</a>
 * @version $Revision: 1 $
 */
public interface UserStorageProviderFactory<T extends UserStorageProvider> extends ComponentFactory<T, UserStorageProvider> {

    /**
     * This is the name of the provider and will be shown in the admin console as an option.
     *
     * @return
     */
    @Override
    String getId();

    /**
     * called per Keycloak transaction.
     *
     * @param session
     * @param model
     * @return
     */
    T create(KeycloakSession session, ComponentModel model);
...
}

在实现UserStorageProviderFactory时,提供者工厂类必须指定具体的提供者类作为模板参数。 这是必须的,因为运行时将对该类进行内省,以扫描其功能(它实现的其他接口)。 例如,如果你的提供者类名为FileProvider,那么工厂类应该是这样的:

public class FileProviderFactory implements UserStorageProviderFactory<FileProvider> {

    public String getId() { return "file-provider"; }

    public FileProvider create(KeycloakSession session, ComponentModel model) {
       ...
    }

getId()方法返回用户存储提供程序的名称。 当您希望为特定领域启用提供者时,此id将显示在管理控制台的User Federation页面中。

create()方法负责分配提供者类的实例。 它接受一个org.keycloak.models.KeycloakSession参数。 此对象可用于查找其他信息和元数据,以及提供对运行时内各种其他组件的访问。 ComponentModel参数表示在特定领域中如何启用和配置提供者。 它包含已启用的提供程序的实例id,以及通过管理控制台启用时为其指定的任何配置。

2. 提供者其他功能接口

实现UserStorageProvider接口,可能会注意到它没有定义任何用于定位或管理用户的方法。 这些方法实际上是在其他功能接口中定义的 , 如果需要能够实现特性实现功能接口。 你可以实现以下这些接口:

SPI

描述

org.keycloak.storage.user.UserLookupProvider

外部存储的用户, 能登录keycloak就需要实现这个接口

org.keycloak.storage.user.UserQueryProvider

实现后能从管理控制台查看和管理用户

org.keycloak.storage.user.UserRegistrationProvider

实现后能从添加和删除用户

org.keycloak.storage.user.UserBulkUpdateProvider

实现后支持一组用户的批量更新

org.keycloak.credential.CredentialInputValidator

实现后可以编写验证密码的逻辑

org.keycloak.credential.CredentialInputUpdater

实现后可以更新用户密码

3.用户模型接口

(1) 简介

功能接口中定义的大多数方法要么返回,要么以用户的表示形式传递。 这些表示是由org.keycloak.models.UserModel接口定义的。 应用程序开发人员需要实现这个接口。 它提供了外部用户存储和Keycloak使用的用户元模型之间的映射。

package org.keycloak.models;

public interface UserModel extends RoleMapperModel {
    String getId();

    String getUsername();
    void setUsername(String username);

    String getFirstName();
    void setFirstName(String firstName);

    String getLastName();
    void setLastName(String lastName);

    String getEmail();
    void setEmail(String email);
...
}

UserModel实现提供了读取和更新关于用户的元数据的访问,包括用户名、姓名、电子邮件、角色和组映射,以及其他任意属性。

(2) 存储用户id

UserModel的一个重要方法是getId()方法。 在实现UserModel时,开发人员必须注意用户id格式。 格式必须为:

"f:" + component id + ":" + external id

例如: f:332a234e31234:wburke

Keycloak运行时经常需要根据用户id查找用户。 用户id包含足够的信息,因此运行时不必查询系统中的每个UserStorageProvider来查找用户。

4. 打包和部署

用户存储提供程序被打包在一个 JAR 中 , 将 JAR 复制到standalone/deployments/服务器目录部署

为了让Keycloak能够识别提供者,您需要在JAR中添加一个文件:META-INF/services/org.keycloak.storage.UserStorageProviderFactory。 这个文件必须包含一个行分隔的UserStorageProviderFactory实现的全限定类名列表:

示例:

org.keycloak.examples.federation.properties.ClasspathPropertiesStorageFactory

org.keycloak.examples.federation.properties.FilePropertiesStorageFactory

 三, 实战案例

(1)表结构

Mysql数据库表

 建表语句:

CREATE TABLE `sys_user`  (
  `user_id` bigint(0) NOT NULL AUTO_INCREMENT COMMENT '用户ID',
  `dept_id` bigint(0) NULL DEFAULT NULL COMMENT '部门ID',
  `login_name` varchar(30) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL COMMENT '登录账号',
  `user_name` varchar(30) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '用户昵称',
  `user_type` varchar(2) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '00' COMMENT '用户类型(00系统用户 01注册用户)',
  `email` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '用户邮箱',
  `phonenumber` varchar(11) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '手机号码',
  `sex` char(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '0' COMMENT '用户性别(0男 1女 2未知)',
  `avatar` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '头像路径',
  `password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '密码',
  `salt` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '盐加密',
  `status` char(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '0' COMMENT '帐号状态(0正常 1停用)',
  `del_flag` char(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '0' COMMENT '删除标志(0代表存在 2代表删除)',
  `login_date` datetime(0) NULL DEFAULT NULL COMMENT '最后登录时间',
  `pwd_update_date` datetime(0) NULL DEFAULT NULL COMMENT '密码最后更新时间',
  `create_by` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '创建者',
  `create_time` datetime(0) NULL DEFAULT NULL COMMENT '创建时间',
  `update_by` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT '' COMMENT '更新者',
  `update_time` datetime(0) NULL DEFAULT NULL COMMENT '更新时间',
  `remark` varchar(500) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`user_id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 393 CHARACTER SET = utf8mb4 COLLATE = utf8mb4_general_ci COMMENT = '用户信息表' ROW_FORMAT = Dynamic;

表数据:

INSERT INTO `sys_user` VALUES (1, 103, 'zs', '张三', '00', 'zs@163.com', '15888888888', '1', '', '2e4d72b714790d7b37d4033d8d68be7a', '111111', '0', '0', '2021-09-17 09:24:47', '2021-09-03 19:58:47', 'admin', '2021-09-03 19:58:47', '', '2021-09-17 09:24:46', '管理员');

INSERT INTO `sys_user` VALUES (2, 105, 'ls', '李四', '00', 'ls@qq.com', '15666666666', '1', '', '782fbd827bfb1b8d89dda6697d60a875', '222222', '0', '0', '2021-09-03 19:58:47', '2021-09-03 19:58:47', 'admin', '2021-09-03 19:58:47', '', NULL, '测试员');

(2)相关依赖

<dependencies>
        <!-- keycloak -->
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-core</artifactId>
            <version>15.0.2</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-server-spi</artifactId>
            <version>15.0.2</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.22</version>
        </dependency>
        <dependency>
            <groupId>com.zaxxer</groupId>
            <artifactId>HikariCP</artifactId>
            <version>4.0.3</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis</artifactId>
            <version>3.5.7</version>
        </dependency>
        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-classic</artifactId>
            <version>1.2.3</version>
        </dependency>
</dependencies>

(3)创建自定义用户表的实体UserEntity

 先根据自己的表结构创建一个用户表对应的pojo类

 (4)创建用户字段适配器 UserAdapter

用来把自定义的用户字段转换成keycloak能够识别的用户字段

(5)实现提供者类

实现以下接口 :

UserStorageProvider, 自定义用户必须要实现的接口

UserLookupProvider, 实现后,可以从keycloak进行登录

CredentialInputValidator, 实现后,可以更新密码

UserRegistrationProvider, 实现后,可以往自己数据库中增加删除修改用户数据

UserQueryProvider 实现后,可以从自己数据库中查询用户

 

 实现数据库CRUD

UserMapper

数据库连接配置

system.properties

 (6)实现工厂类

CustomUserStorageProviderFactory工厂类

读取配置,将配置加载到插件中,需要实现用户入口的工厂类

 (7)添加插件的配置

要让插件正常使用,我们还需要添加一个配置文件,在项目的resources路径下,新建

META-INF\services\org.keycloak.storage.UserStorageProviderFactory

 

在org.keycloak.storage.UserStorageProviderFactory文件中写入刚才创建的入口factory类的路径

比如我们的CustomUserStorageProviderFactory,带完整包名

 (8) 打包部署

将插件打包部署到keycloak 目录 standalone/deployments/ 下

(9)最后页面效果展示

 

 

 (10)插件项目地址

https://gitee.com/its-not-ripe-yet/keycloak-service-user-storage.git

还未熟透
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过postman获取keycloak中的用户列表
MRLEE1212的博客
03-26 2570
通过postman获取keycloak中的用户列表 - 前提 1.keycloak已经安装成功 2.已经创建好realm、roles、client、users等信息 1获取用户信息接口说明 通过接口keycloak中的用户信息接口: url:http://ip:port/auth/admin/realms/demo/users get方法 header中的信息: Authorization:b...
Keycloak服务开发-认证服务SPI
JosephThatwho的博客
07-26 3509
keycloak的认证服务提供接口
keycloak-user-storage:Keycloak的自定义用户存储
05-24
Keycloak用户存储SPI演示 这是有关如何将密钥斗篷连接到开箱即用的不受支持的用户存储类型/格式的演示。 (出于演示目的,使用外部MySQL数据库) 该分支中演示的解决方案使用手动构建的JPA连接。 该体系结构决策背后的原因是使用Java Persistence API时通常建立连接的方式。 通常,在与应用程序捆绑在一起的应用程序服务器上部署了一个persistence.xml文件。 这有一个主要缺点-连接是硬编码的,并且不同数据库的提供程序需要多次部署。 为了利用Keycloak中提供程序的实时运行时配置,我们需要一种在运行时构造JPA连接的方法。 设置 要求 安装了Java的当前版本(最好是JDK11或13) 安装了当前版本的Docker(用于MySQL服务器) Java IDE(例如 , , , ) 测试对REST Api的请求 密钥斗篷实例 入门 部署用户存
Keycloak 入门使用第二篇
little_kelvin的博客
12-17 8539
Keycloak 入门使用第二篇User Storage SPI User Storage SPI 如果你不想所有的用户数据都存储在keycloak数据库中,
Keycloak中实现自定义SPI
最新发布
m0_49294242的博客
10-31 246
Keycloak提供了强大的插件扩展机制,本文介绍了如何实现一个自定义的SPI来扩展keycloak的功能。
SPI接口
伍意的博客
04-19 790
SPI(Serial Peripheral Interface--串行外设接口)总线系统是一种同步串行外设接口,它可以使MCU与各种外围设备以串行方式进行通信以交换信息。SPI有三个寄存器分别为:控制寄存器SPCR,状态寄存器SPSR,数据寄存器SPDR。外围设备包括FLASHRAM、网络控制器、LCD显示驱动器、A/D转换器和MCU等。SPI总线系统可直接与各个厂家生产的多种标准外围器件直接接口
(四)keycloak 自定义用户(SPI)开发
07-27 3814
keycloak自定义用户
user-storage-spi-demo
03-21
【标题】"user-storage-spi-demo" 是一个基于Java的示例项目,它演示了如何使用Java的Service Provider Interface (SPI) 来实现用户存储服务。SPIJava提供的一种机制,允许应用程序在运行时动态发现和加载服务提供...
Tethys-UserStorage
06-03
#Tethys-UserStorage Tethys 项目的微服务处理用户及其存储。 有关 Tethys 和贡献指南的更多信息,请参阅。 Developed by Gordon Lawrenz <lawrenz>
keycloak安装服务文件
04-04
首次启动Keycloak,需要创建一个Realm(域)和Admin User。访问`http://your_server_address:8080/auth/admin/master/console/`,按照提示创建一个管理员账户,用于管理Keycloak实例。 7. 创建Realm和客户端应用: ...
keycloak集群部署配置
11-05
Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案。单点部署相对简单,本文档包含集群部署配置,包含nginx。
keycloak-invalidation-cache-model-1.7.0.CR1.zip
09-26
jcodemodel.zip,JAVA代码生成Lyapunov极大扩展了COM.Sun.CODENDELL(2013/09)
springboot-react-keycloak:该项目的目标是使用Keycloak(带有PKCE)来保护movie-app。 films-app由两个应用程序组成:一个是称为“ movies-api”的Spring Boot Rest API,另一个是名为“ movies-ui”的ReactJS应用程序。
01-31
springbootReact钥匙斗篷 该项目的目标是使用 (带有PKCE)来保护movies-app 。 movies-app由两个应用movies-app组成:一个是称为 movies-api的 Rest API,另一个是名为 movies-ui的应用程序。 项目图 应用领域 电影API Spring Boot Web Java后端应用程序公开了Rest API来管理电影。 如果提供了由Keycloak发行的访问令牌(JWT),则只能访问其安全端点。 movies-api将其数据存储在数据库中。 movie-api具有以下端点 终点 担保的 的角色 GET /api/userextras/me 是 MOVIES_MANAGER和USER POST /api/userextras/me -d {avatar} 是 MOVIES_MANAGER和USER GET /api/movies 没有 GET /api/movies/{imdbId} 没有 POST /api/movies -d {"imdb","title","director","year","poster
keycloak-quickstarts
04-29
Keycloak快速入门 Keycloak是适用于现代应用程序和服务的开源身份和访问管理解决方案。 快速入门演示了如何使用Keycloak保护应用程序。 它们提供了小的,具体的工作示例,可以用作您自己的项目的参考。 帮助和文档 -有关Keycloak的帮助和常见问题的邮件列表 错误和功能请求的问题跟踪器 报告安全漏洞 如果您发现了安全漏洞,请查看漏洞的 报告问题 如果您认为自己在快速入门中发现了缺陷,请在我们的打开一个问题。 请记住要提供良好的摘要,描述以及重现此问题的步骤。 入门 要开始使用,请参阅指南。 写作测试 要编写测试,请参考指南。 贡献 在贡献Keycloak之前,请阅读我们的。 其他Keycloak项目 Keycloak -Keycloak服务器和Java适配器 Keycloak文档-Keycloak文档 Keycloak Docker - Keycloak的Docker
keycloak密码加密
10-20
keycloak解决密码为明文的问题,使用md5进行加密。减少密码泄露的问题。配合对应的博客进行操作。
KeyCloak的自定义用户(SPI)开发,连接postgresql数据库,自定义连接配置,权限授权
qq_41504081的博客
08-17 1822
keycloak的自定义用户(SPI)开发,连接Postgresql,外部存储,权限授予,自定义数据库连接配置
keycloak 9 配置分布式缓存(高可用集群)
weixin_43394129的博客
12-09 421
一. 介绍   keycloak专为高可用和多节点集群设置而设计。当前的分布式缓存实现是建立在Infinispan之上的,Infinispan是一种高性能,可分布式的内存数据存储。   Infinispan是开源的Key--value数据存储,可以容纳所有类型的数据,从java对象到纯文本。可以做缓存或持久数据存储。   1.1 思考:在第8章已经部署了一个生产环境的Keycloak服务,如果再...
[Keycloak] - 基于Spring Boot框架的,内嵌式的服务
06-19 1024
Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案,点击这里进入官方网站。Keycloak支持单独部署,也支持内嵌的方式集成到Spring Boot 项目中,使用keycloak-dependencies-server-all包,可以很方便的实现。使用版本:在这里,不详细列举代码,请参考代码keycloak,下面具体介绍如何运行调试项目。下载后项目图如下:​ 本篇文章重点介绍springboot-embedded-server项目,你将学习到如何配置,运行项目。修.........
输入注册策略服务器url,Keycloak 13 自定义用户身份认证流程(User Storage SPI
weixin_32578799的博客
07-29 1541
Keycloak版本:13.0.0spring-boot 项目 Githubuser-storage-spi 项目 Github介绍Keycloak 是为现代应用程序和服务提供的一个开源的身份和访问管理的解决方案。Keycloak 在测试环境可以使用内嵌数据库,生产环境需要重新配置数据库。以下将一一介绍如何使用内嵌数据库、重新配置数据库。特别需要注意 Keycloak 是在 WildFly 上构建...
keycloak vue
09-27
keycloak vue是一个用于在Vue.js应用程序中集成Keycloak身份验证和授权功能的库。通过使用vue-keycloak-js插件,我们可以轻松地在Vue应用程序中配置和使用Keycloak。 首先,我们需要在Vue应用程序中安装vue-keycloak-js库。可以通过以下方式引入vue-keycloak-js: import keycloak from '@dsb-norge/vue-keycloak-js'; Vue.use(keycloak, { init: { onLoad: 'login-required' }, config: { url: 'http://localhost:8080/auth', realm: 'test', clientId: 'test-realm' }, onReady: (keycloak) => { // 在这里可以获取用户信息 keycloak.loadUserProfile().success((data) => { console.log(data); }); } }); 然后,我们可以使用$keycloak函数来访问Keycloak的各种功能。例如,要获取用户信息,可以使用this.$keycloak.loadUserProfile()方法;要退出登录,可以使用this.$keycloak.logoutFn()方法。 另外,要使用Keycloak,我们需要在本地安装Keycloak服务器。一种快速的方法是使用Docker进行安装。可以使用以下命令运行Keycloak Docker容器: docker run -d --name keycloak \ -p 8080:8080 \ -e KEYCLOAK_USER=admin \ -e KEYCLOAK_PASSWORD=admin \ jboss/keycloak:10.0.0

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值