Keycloak实现手机验证码登录

最新推荐文章于 2025-11-06 14:31:53 发布
原创 最新推荐文章于 2025-11-06 14:31:53 发布 · 5.9k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #keycloak

本文探讨了如何在Keycloak中实现手机验证码登录,包括自定义AuthenticationSPI、DirectAccessGrants、token-exchange和IdentityProviders的方法,及其优缺点,重点讲解了定制ValidateUserAttributeAuthenticator的详细步骤和应用场景.

背景说明

使用Keycloak作为账号体系的项目中,经常会被问到Keycloak如何实现手机验证码登录,Keycloak有没有内置的基于短信的登录实现SMS-based two-/multi-factor-authentication (2FA/MFA) ;

Keycloak目前只内置一种基于 Google Authenticator 的 2FA 选项。

这篇主要讨论实现上述的需求的几种方案,以及相应的优缺点:

  • 定制 Authentication SPI,实现Keycloak统一的浏览器手机验证码登录;

  • 定制 Authentication SPI,实现基于 Resource Owner Password Credentials (Direct Access Grants)的手机验证码登录;

  • 使用 token-exchange

  • 使用 Identity Providers 实现手机验证码登录

定制 Authentication SPI,实现Keycloak统一的浏览器手机验证码登录

原理及实现

这种方式主要的工作原理是:

  1. 定制Keycloak登录主题,点击发送验证码有Keycloak服务进行验证码的发送,缓存和验证;

  2. 新增一个 keycloak-2fa-sms-authenticator 验证器,进行手机号和验证码的校验

具体实现代码可以参考:

在这里插入图片描述

对应的github地址

优缺点

优点是:

- 基于Keycloak标准扩展实现,安全风险可控

- 基于浏览器登录,各业务统一的登录逻辑

缺点是:

- 浏览器登录在某些端,比如APP,并不适合

- 短信发送集成到Keycloak,各个业务无法再支持自定义模板及信息定义;

基于 Resource Owner Password Credentials (Direct Access Grants)的手机验证码登录

Direct Access Grants概念

Resource Owner Password Credentials Grant (Direct Access Grants)

This is referred to in the Admin Console as Direct Access Grants. This is used by REST clients that want to obtain a token on behalf of a user. It is one HTTP POST request that contains the credentials of the user as well as the id of the client and the client’s secret (if it is a confidential client). The user’s credentials are sent within form parameters. The HTTP response contains identity, access, and refresh tokens.

相关的 RESTApi请求

curl --location --request POST 'http://localhost:8080/auth/realms/austintest/protocol/openid-connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=server-admin' \
--data-urlencode 'client_secret=ee0c1f08-775d-4195-b5ca-19eb9b923822' \
--data-urlencode 'username=admin1' \
--data-urlencode 'password=123456' \
--data-urlencode 'grant_type=password'

在后台的 Keycloak

最低0.47元/天 解锁文章
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(三)基于springboot&keycloak+vue的前后端分离项目
mltaozi的博客
03-13 7901
本文将介绍如何使用Spring Boot、Keycloak和Vue构建一个具有前后端分离架构的Web应用程序。通过将前端与后端完全独立开发和部署,我们可以实现更高效的团队协作和灵活的技术选型。Spring Boot提供了一个稳定可靠的后台框架,Keycloak提供了身份验证和授权的解决方案,而Vue作为一种灵活易用的前端框架,使我们能够快速开发出优秀的用户界面。这样就实现了一个通过keycloak鉴权的简单前后端分离项目,当springboot版本太高(3.0)的话,也可以集成。
[Keycloak] - 基于短信的OTP(One-time Password)登录
06-22 2125
Keycloak支持OTP登录,请查看文章[Keycloak] - OTP(One-time Password)登录。这篇文章介绍当用户输入用户名和密码登录,系统会给该用户发送含验证码的短信,用户输入这个验证码及可登录。在配置之前,需要满足如下条件:既然是发送邮件,用户必须定义手机号。使用超级用户登录keyclaok,并切换到dubhe realm, 进入Users -> 选择一个用户 -> 添加手机号,然后点击保存即可。如图: 进入Authentication -> Flows 点击‘New’...
keycloak-phone-provider:一个Keycloak提供者,可以通过电话和短信
05-23
Keycloak电话提供商 电话支持,如电子邮件 通过电话进行OTP 用手机注册 电话认证 短信语音电话一键登录 使用此提供程序,您可以基于发送到用户手机的验证令牌来实施身份验证策略。 当前,有Twilio和TotalVoice以及YunTongXun SMS发件人服务的实现。 也就是说,很高兴地注意到,由于采用了模块化,可以轻松使用更多服务,实际上,没有什么可以阻止您实现TTS呼叫或WhatsApp消息的发送者。 这是您现在可以做的: 检查电话号码的所有权(表单和HTTP API) 在2FA方法(浏览器流程)中将SMS用作第二要素 通过电话重置密码(测试中) 通过电话认证(HTTP API) 通过电话对所有人进行身份验证,并在Grant(HTTP API)上自动创建用户 用手机注册 仅注册电话(用户名是电话号码) 使用redirect_uri参数注册添加用户属性 此提供程序
KeycloakQRLogin:Keycloak 二维码登录插件实现与方案说明
最新发布
回忆如此多娇的博客
11-06 715
KeycloakQRLogin是一个开源插件,为Keycloak身份认证系统提供二维码扫码登录功能。该项目通过扩展Keycloak标准流程,实现Web端生成二维码、移动端扫码确认的双因素认证机制,支持安全无密码登录。核心采用QRSession会话管理、HMAC签名校验和时间戳防重放等技术保障安全性,包含IDP注册、REST端点和会话存储等模块。目前支持内存存储模式,适用于Keycloak 20+环境,可便捷集成到现有登录主题中,为移动+Web统一登录提供标准化解决方案。
keyCloak自定义登陆页主题以及图形验证码(数字字母以及混合验证)
大气的土豆泥
03-29 6732
** keyCloak自定义登陆页主题以及图形验证码(数字字母以及混合验证) ** 一,下载以及配置keycloak 1),下载keycloak:https://www.keycloak.org/downloads.html ; 2),下载完毕之后,打开文件,访问 bin 路径,点击 standalone.bat 打开; 3),访问 http://localhost:8080/auth/ 即可进入keycloak配置后台。详情配置以及集成请看 https://www.cnblogs.com/moutudou
keycloak实现手机验证码登录(兼容账号密码登录
u014725739的博客
09-15 2372
keycloak、认证框架、手机验证码登录
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(一)Keycloak的下载与使用
mltaozi的博客
11-22 1万+
接触keycloak已经半个多月了,主要是为了用来集成现已有的项目,也是弄得头大,代码不负脱发人,也是有点小成果了,在这里把自己的这点小小经验分享给大家!
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(二)Keycloak与SpringBoot的集成
mltaozi的博客
10-19 8539
总结一下本章的内容,最重要的还是是yml文件权限的配置,这将直接影响到你的接口校验是否生效。其次就是客户端访问类型的设置和用户权限的问题。访问类型为public是不需要秘钥的。但是当我们选择其他两种访问类型,就需要配置秘钥了!到这里就结束了本章的内容,若有不对之处还请各位大佬指正。有什么问题也可以评论区留言。
keycloak-2fa-sms-authenticator:Keycloak身份验证提供程序实现,用于通过通过SMS(通过AWS SNS)发送的OTPcodetoken获得第二因素身份验证。 仅用于演示!
05-18
Keycloak 2FA SMS身份验证器 Keycloak身份验证提供程序实现,以通过通过SMS(通过AWS SNS)发送的OTP /代码/令牌获得第二因素身份验证。 仅用于演示! 不幸的是,我还没有真正的自述文件。 责怪我! 但是,就目前而言,您至少可以在这里阅读我的博客文章有关该增效剂的信息: 或者,只需观看有关此2FA SMS SPI的视频:
keycloak单点登录(浙政钉2.0扫码、手机验证码登录
chenacxz的博客
02-19 8420
写在前面:本篇博客只针对前端代码实现keycloak配置什么的,自己和后端或者运维联调吧。说实在的,因为不熟悉keycloak代码的逻辑,再加上时间紧,所以搞了一些很多骚操作。 登录这些前端代码是写在keycloak项目里的,文件是.ftl,还好政府项目没有对UI有什么很高的要求。扫码登录手机验证码,成功之后是跳转到Vue项目里的。 @TOC 浙政钉扫码登录 扫码登录: 专有钉钉扫码登陆流程 我这里采用的时第二种实现方式,嵌入iframe,但是这样有个弊端,开发时由于跨域,无法改二维码的样式。
最详细的Keycloak教程(建议收藏)番外篇:SpringBoot集成Spring Security+Keycloak
mltaozi的博客
01-21 728
目前在springboot 3.x版本已经不支持keycloak适配器了,但是我们在集成的时候可以使用Spring Security+Keycloak实现类似于老版本的keycloak适配器。上面的“oauth2ResourceServer”配置大家根据自己的具体业务需求来,roles名称是自己定义的,有些有role_前缀,有些没有。前面说到了怎么使用keycloak api去实现登录,1.下载keycloak,参考之前写的。编写IndexController。不废话,直接上代码了,具体实现
keycloak-react-theming:提供一种自定义Keycloak登录并使用React注册页面的方法
03-05
:locked_with_pen: 用于Reacts应用程序的Keycloak主题生成器 :locked_with_pen: !!! 该模块正在积极开发中。 它还不能使用!!! 动机 问题: 当我们重定向到Keycloak时,用户会遭受苛刻的上下文切换。 在je登录/注册页面上,语言已设置为默认语言,主题与应用程序上的主题不同。 Keycloak确实提供了一种自定义这些页面的方法,但是它需要大量原始HTML / CSS骇客才能重现特定应用程序的外观。 更不用说这种努力的维护成本了。 如果我们可以设计登录和注册页面,使其看起来像是应用程序的一部分,同时又让Keycloak处理实际验证用户的繁重工作,那不是很好吗? 这是yarn add keycloak-react-theming为您yarn add keycloak-react-theming :cocktail_glass: 待办事项:在之后插入视频。 如何使用 设置构建工具 将keycloak-react-the
精选资源
keycloak-26.0.6.zip
03-06
它支持多种类型的多因素认证方法,如手机短信验证码、生物识别以及硬件令牌等。 由于其灵活性和强大的功能,Keycloak被广泛应用于各种企业级应用中,从简单的Web应用到复杂的微服务架构。它支持多种编程语言和框架...
keycloak 认证服务
热门推荐
刘毅的博客
11-16 2万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
keycloak 自定义登录页面
hhj724的专栏
05-08 1万+
keycloak 自定义登录页面详细步骤如下: 因为keycloak是jboss开发的,使用FTL后缀开发前端文件,可能根据以下方式实现 keycloak将前端页面分为四类:按类设置主题。 •Account - Account management •Admin - Admin console •Email - Emails •Login - Login forms,包含注册。 ...
js-验证码插件gVerify.js
ddr66288的博客
09-13 518
这几天在做登录时需要输入验证码,可后端那边由于受限制,导致只能返回给前端验证码的文字,下面就把源码附上: 插件gVerify.js !(function(window, document) { function GVerify(options) { //创建一个图形验证码对象,接收options对象为参数 this.options = { //默认...
[Keycloak] - OTP(One-time Password)登录
06-19 1932
Keycloak支持OTP登录,通过学习本文,将可以了解如何在Keycloak中配置OTP。在配置之前,需要满足如下条件: 启动Keyclaok服务,请参考文章​​​​​​[Keycloak] - 基于Spring Boot框架的,内嵌式的服务使用管理员登录,然后切换到dubhe realm。找到 configure -> Authenciation -> Flows -> 在下拉列表中选择Browser选择‘REQUIRED’选项即可在游览器中,输入地址:http://localhost:900...
杂记 | 使用keycloak实现SSO单点登录(新手向,概念、原理、逻辑、详细步骤、难点解释)
野生猿林仔的博客
07-04 2万+
使用keycloak实现SSO单点登录(概念、原理、逻辑、详细步骤、难点解释)
Keycloak实现一个完整的登录、授权、获取 token 并验证 SCOPE_openid 的例子
weixin_45428910的博客
06-18 704
Keycloak实现一个完整的登录、授权、获取 token 并验证 SCOPE_openid 的例子
手机验证码注册登录流程
12-31
### 手机验证码注册登录实现流程 #### 1. 用户请求发送验证码 当用户希望使用手机号码进行注册或登录时,会向服务器发起获取验证码的请求。此过程通常涉及前端页面上的表单提交操作。 ```python def request_...
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值