Keycloak自定义REST扩展-通过用户属性进行用户搜索

最新推荐文章于 2023-10-31 11:28:40 发布
最新推荐文章于 2023-10-31 11:28:40 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: WebServer 文章标签: restful java html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/austindev/article/details/120851850
版权

Keycloak自定义REST扩展-通过用户属性进行用户搜索

需求背景

项目中用户和组织架构管理都是依托以Keycloak,但是Keycloak内置的用户搜索功能不满足需求,需要根据用户的属性值进行搜索,比如手机号;

Keycloak内置API能力代码走读

Keycloak 官方文档

在这里插入图片描述
在这里插入图片描述

看官方文档,貌似提供了search搜索查询

  • services\src\main\java\org\keycloak\services\resources\admin\UsersResource.java
    在这里插入图片描述
  • model\jpa\src\main\java\org\keycloak\models\jpa\JpaUserProvider.java
    在这里插入图片描述

所以只是提供了内置这几个参数的模糊搜索;
所以只能自己去定制扩展了;

官方的定制扩展方案

Keycloak定制开发文档

主要以下三步:

  • 实现一个 KeyCloakUserApiProviderFactory
  • 实现 KeyCloakUserApiProvider进行自己的业务逻辑书写
  • 在src\main\resources\META-INF\services\org.keycloak.services.resource.RealmResourceProviderFactory文件注册自己的提供器

本文参考的代码为:
https://dev.to/silentrobi/keycloak-custom-rest-api-search-by-user-attribute-keycloak-3a8c

在此基础上:

  • 去除了 userMapper的映射,因为我需要全量的用户信息
  • 实现了自己的Representation映射
  • 添加了 briefRepresentation 特性
  • 添加 token校验和角色校验

代码示意截图

  • src\main\java\keycloak\apiextension\KeyCloakUserApiProviderFactory.java
public class KeyCloakUserApiProviderFactory implements RealmResourceProviderFactory {
    public static final String ID = "userapi-rest";

    public RealmResourceProvider create(KeycloakSession session) {
        return new KeyCloakUserApiProvider(session);
    }

    public void init(Scope config) {
    }

    public void postInit(KeycloakSessionFactory factory) {
    }

    public void close() {
    }

    public String getId() {
        return ID;
    }
}
  • src\main\java\keycloak\apiextension\KeyCloakUserApiProvider.java
public class KeyCloakUserApiProvider implements RealmResourceProvider {
    private final KeycloakSession session;
    private final AuthenticationManager.AuthResult auth;
    private final String defaultAttr = "merchent_id";

    public KeyCloakUserApiProvider(KeycloakSession session) {
        this.session = session;
        this.auth = new AppAuthManager.BearerTokenAuthenticator(session).authenticate();
    }

    public void close() {
    }

    public Object getResource() {
        return this;
    }

    @GET
    @Path("users/search-by-attr")
    @NoCache
    @Produces({ MediaType.APPLICATION_JSON })
    @Encoded
    public List<UserRepresentation> searchUsersByAttribute(@DefaultValue(defaultAttr) @QueryParam("attr") String attr,
            @QueryParam("value") String value, @QueryParam("briefRepresentation") Boolean briefRepresentation) {
                checkRealmAdmin();
        boolean briefRepresentationB = briefRepresentation != null && briefRepresentation;
        RealmModel realm = session.getContext().getRealm();
        Stream<UserModel> userModels = session.users()
                .searchForUserByUserAttributeStream(session.getContext().getRealm(), attr, value);

        return userModels.map(user -> {
            UserRepresentation userRep = briefRepresentationB ? ModelToRepresentation.toBriefRepresentation(user)
                    : ModelToRepresentation.toRepresentation(session, realm, user);
            return userRep;
        }).collect(Collectors.toList());
    }

    private void checkRealmAdmin() {
        if (auth == null) {
            throw new NotAuthorizedException("Bearer");
        } else if (auth.getToken().getRealmAccess() == null || !auth.getToken().getRealmAccess().isUserInRole("admin")) {
            throw new ForbiddenException("Does not have realm admin role");
        }
    }
}

Installation

  1. Run mvn clean install command from CLI. This will generate a target folder. Under the target folder there will be {project artifact id}-*.jar file.
  2. Copy that jar file to the Keycloak standalone/deployments/ directory. For an example, If you run your Keycloak in docker container, you can use the following command:
docker cp <jar_file_path> keycloak:/opt/jboss/keycloak/standalone/deployments/

测试验证

获取访问令牌

 curl --location --request POST 'http://localhost:8080/auth/realms/austintest/protocol/openid-connect/token' --header 'Content-Type: application/x-www-form-urlencoded' --data-urlencode 'client_id=admin-cli' --data-urlencode 'username=admin1' --data-urlencode 'password=123456' --data-urlencode 'grant_type=password'

不带令牌访问

Request:

curl --location --request GET 'http://localhost:8080/auth/realms/austintest/userapi-rest/users/search-by-attr?attr=phone&value=14255633'

Response:
返回无权限

{"error":"HTTP 401 Unauthorized"}

不带admin角色的用户

Request:

 curl --location --request GET 'http://localhost:8080/auth/realms/austintest/userapi-rest/users/search-by-attr?attr=merchant_id&value=1' --header 'Authorization: Bearer eyJhbGciOiJSUInR5cCIgOiAiSldUIiwia2lkIiA6ICJOdHBtTmtOV1dBLWs4TlNTeWpSZHBLX0RMLUdLVFR2WXdsTndPdzM5VXJRIn0.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.H2QwOG6LRN-TF1YCVpbaVU7ILd0OVNfCEtDZZ5zZnObArkphgaCd9BaHk9tbcGsH8OR55qUI3S1ZkZim0EHwaWluo9CVrE-orOccs3Tth_awJeOJMtRTBeNr5I5rYGi0aSP1YZEsyxvjigkekP4z82IizPdZjyfs9LjZJEKq5SKxUVL5LIAzfsE99aJp_AAGeITqswTsjkpN3wOZ4TcwEeb-XHMhTekEjAl1fQuE9eshPBe3qMdAXD2eN8mC21KBY8RzZq4bZjdwLAia_a2WxTjFr12pCUSuIVrv5kw2nqoPWxj5I0HHHyIMdUNDWvdc9wz9o2LA'

Response:
返回无权限

{"error":"Does not have realm admin role"}

令牌携带角色正确

Request:

 curl --location --request GET 'http://localhost:8080/auth/realms/austintest/userapi-rest/users/search-by-attr?attr=merchant_id&value=1' --header 'Authorization: Bearer eyJhbGciOiJSUInR5cCIgOiAiSldUIiwia2lkIiA6ICJOdHBtTmtOV1dBLWs4TlNTeWpSZHBLX0RMLUdLVFR2WXdsTndPdzM5VXJRIn0.eyJleHAiOjE2MzQ2MzgxMjksImlhdCI6MTYzNDYzNzgyOSwianRpIjoiNDIyODBkYzgtOTkyNS00OGE4LWI4MTYtODcA1ZWZmIiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo4MDgwL2F1dGgvcmVhbG1zL2F1c3RpbnRlc3QiLCJzdWIiOiI5Y2M5MjBhZC1jYjQ1LTQ4MzAtYmIxYS1kYTVmZDM0NWQ3Y2IiLCJ0eXAiOiJCZWFyZXIiLCJhenAiOiJhZG1pbi1jbGkiLaW9uX3N0YXRlIjoiOTNlNWZiMWItMzEzOC00NmQ4LTg2ZTctNGZkZmQxNzY1MTcwIiwiYWNyIjoiMSIsInNjb3BlIjoiZW1haWwgcHJvZmlsZSIsImVtYWlsX3ZlcmlmaWVkIjpmYWxzZSwibmFtZSI6ImFkbWluIGF1c3RpbiIsInByZWZlcnJVybmFtZSI6ImFkbWluMSIsImdpdmVuX25hbWUiOiJhZG1pbiIsImZhbWlseV9uYW1lIjoiYXVzdGluIiwiZW1haWwiOiJhZG1pbjFAcXEuY29tIn0.H2QwOG6LRN-TF1YCVpbaVU7ILd0OVNfCEtDZZ5zZnObArkphgaCd9BaHk9tbcGsH8OR55qUI3S1ZkZim0EHwaWluo9CVrE-orOccs3Tth_awJeOJMtRTBeNr5I5rYGi0aSP1YZEsyxvjigkekP4z82IizPdZjyfs9LjZJEKq5SKxUVL5LIAzfsE99aJp_AAGeITqswTsjkpN3wOZ4TcwEeb-XHMhTekEjAl1fQuE9eshPBe3qMdAXD2eN8mC21KBY8RzZq4bZjdwLAia_a2WxTjFr12pCUSuIVrv5kw2nqoPWxj5I0HHHyIMdUNDWvdc9wz9o2LA'

Response:

[{"id":"d099df5f-286d-4b77-9911-f30a3da7cffb","createdTimestamp":1627290490426,"username":"测试用户","enabled":true,"totp":false,"emailVerified":false,"firstName":"杭州有限公司","lastName":"名称","email":"austin@qq.com","attributes":{"haha":["hall"],"avatar":["https://qhyxpicoss.kujiale.com/avatars/41.jpg"],"phone":["14255633"]},"disableableCredentialTypes":[],"requiredActions":[],"notBefore":0}]

带briefRepresentation=true参数

Request:

curl --location --request GET 'http://localhost:8080/auth/realms/austintest/userapi-rest/users/search-by-attr?attr=phone&value=14255633&briefRepresentation=true' --header 'Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJOdHBtTmtOV1dBLWs4TlNTeWpSZHBLX0RMLUdLVFR2WXdsTndPdzM5VXJRIn0.eyJleHAiOjE2MzQ2Mzg1NTEsImlhdCI6MTYzNDYzODI1MSwianRpIjoiNDQ1ZTIyOTEtMWIyMi00YTVhLThmMjgtYTc1OWQzOTU1NDMxIiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo4MDgwL2F1dGgvcmVhbG1zL2F1c3RpbnRlc3QiLCJhdWQiOlsicmVhbG0tbWFuYWdlbWVudCIsImFjY291bnQiXSwic3ViIjoiOWNjOTIwYWQtY2I0NS00ODMwLWJiMWEtZGE1ZmQzNDVkN2NiIiwidHlwIjoiQmVhcmVyIiwiYXpwIjoiYWRtaW4tY2xpIiwic2Vzc2lvbl9zdGF0ZSI6IjE1ZWQ2MGEwLTQ1YWQtNDE4MC05M2QzLWYzZTMyYzcwNzFjOSIsImFjciI6IjEiLCJyZWFsbV9hY2Nlc3MiOnsicm9sZXMiOlsiZGVmYXVsdC1yb2xlcy1hdXN0aW50ZXN0Iiwib2ZmbGluZV9hY2Nlc3MiLCJhZG1pbiIsInVtYV9hdXRob3JpemF0aW9uIl19LCJyZXNvdXJjZV9hY2Nlc3MiOnsicmVhbG0tbWFuYWdlbWVudCI6eyJyb2xlcyI6WyJ2aWV3LWlkZW50aXR5LXByb3ZpZGVycyIsInZpZXctcmVhbG0iLCJtYW5hZ2UtaWRlbnRpdHktcHJvdmlkZXJzIiwiaW1wZXJzb25hdGlvbiIsInJlYWxtLWFkbWluIiwiY3JlYXRlLWNsaWVudCIsIm1hbmFnZS11c2VycyIsInF1ZXJ5LXJlYWxtcyIsInZpZXctYXV0aG9yaXphdGlvbiIsInF1ZXJ5LWNsaWVudHMiLCJxdWVyeS11c2VycyIsIm1hbmFnZS1ldmVudHMiLCJtYW5hZ2UtcmVhbG0iLCJ2aWV3LWV2ZW50cyIsInZpZXctdXNlcnMiLCJ2aWV3LWNsaWVudHMiLCJtYW5hZ2UtYXV0aG9yaXphdGlvbiIsIm1hbmFnZS1jbGllbnRzIiwicXVlcnktZ3JvdXBzIl19LCJhY2NvdW50Ijp7InJvbGVzIjpbIm1hbmFnZS1hY2NvdW50IiwibWFuYWdlLWFjY291bnQtbGlua3MiLCJ2aWV3LXByb2ZpbGUiXX19LCJzY29wZSI6ImVtYWlsIHByb2ZpbGUiLCJlbWFpbF92ZXJpZmllZCI6ZmFsc2UsIm5hbWUiOiJhZG1pbiBhdXN0aW4iLCJwcmVmZXJyZWRfdXNlcm5hbWUiOiJhZG1pbjEiLCJnaXZlbl9uYW1lIjoiYWRtaW4iLCJmYW1pbHlfbmFtZSI6ImF1c3RpbiIsImVtYWlsIjoiYWRtaW4xQHFxLmNvbSJ9.fTRmGM2mZmC_NQC5s_9s79oySWOSPpPsk2GF8lcBgDnV_BO54ebTQmImyzvpfx6RsaWCc1Cba85s5Qx1FKBjmEDYFjjahfojMN3fO2-fxhK5mcqGgTBLk3tZeIA6b_dcSwVjqNZSc9p7tvKGEatpF8Ll58dPGMut0fTr60A7pgo7FV42_9wmX-oAmcwERJqbBqgzIeb_-hdQPz2-NHBAJBb79xTuBrcKBLNhUagbTaIOJNVGmSksaR2G9svsqnhabrPalSOwVfTH5AHg869qbrPy1s-PyxQdyruI4RBL6aHWTXK-pd0wzEwOkdDDlt4Re8dhFyvuQU4VNcAGJ1-mfQ'

Response:

[{"id":"d099df5f-286d-4b77-9911-f30a3da7cffb","createdTimestamp":1627290490426,"username":"测试用户","enabled":true,"emailVerified":false,"firstName":"杭州有限公司","lastName":"名称","email":"austin@qq.com"}]
java-具有依赖项的Keycloak扩展
weixin_44109689的博客
11-12 634
我正在创建具有依赖项的Keycloak扩展.我在pom.xml上添加了这样的条目: <dependency> <groupId>org.json</groupId> <artifactId>json</artifactId> <version>20160810</version&g...
keycloak~管理平台的查询bug与自定rest中文检索
m0_66876551的博客
04-26 202
对于keycloak来说,它的管理平台在它的源码中的admin-client中,它会定义相关的rest接口规范;在我们使用keycloak管理平台时,其中有一个组的查询,在我们查询中文组时,它是不支持的,经过测试和mysql日志监控得到原因: keycloak rest使用javax.ws.rs包下面的注解,在使用@QueryParam注解来接收url参数时,当出现中文时,它实现是一个urlEncode的字符 它本身不会对字段进行urlDecode的操作,所以我们自己要做;而spring框架帮我们作了这事,
keycloak-extensions:Keycloak扩展
04-22
Keycloak扩展 Keycloak扩展示例。 运行docker-compose up时带有*的标题已被激活 * 添加新域实体的示例 * 自定义事件侦听器的示例 * 如何更改默认邮件行为并向其中添加其他变量的示例。 在注册页面中禁用名字和姓氏验证 * 定制REST资源的示例 * 更改最少的自定义主题 建造 建立全部 ./mvnw clean install 构建单个模块 ./mvnw clean install -pl provider-domain ./mvnw clean install -pl spi-event-listener ./mvnw clean install -pl spi-mail-template-override ./mvnw clean install -pl spi-registration-profile ./mvnw clean install -p
keycloak-extensions:这是keycloak扩展的集合,以及预先安装了所有扩展的docker映像
04-06
Keycloak扩展 这是扩展的集合,以及预安装了所有扩展的映像。 该扩展使用户能够与Keycloak共享其当前IP地址和公共密钥。 扩展名 容器SSH 是ssh服务器实现,为每个新连接提供一个单独的Docker容器。 该扩展实现了ContainerSSH的身份验证服务。 ip地址和公用密钥已通过验证。 Traefik转发身份验证 该项目是Keycloak扩展,用于添加对的转发身份验证中间件的支持。
keycloak-mail-whitelisting:用户注册时将keycloak扩展到白名单电子邮件地址域
02-04
Keycloak-将电子邮件域加入白名单 此扩展名使您可以验证用于在密钥斗篷中注册的电子邮件域,以仅接受域的有限列表。 您可以使用基本的(仅支持*和? ) 如何安装 只需将jar放在$KEYCLOAK_HOME\standalone\deployments ,它将由keycloak自动部署。 如何使用 转到管理控制台的身份验证菜单。 复制注册流程 在“配置文件验证”下添加新的执行,然后选择“通过电子邮件域检查进行配置文件验证” 配置这个新的执行(否则,keycloak将只接受“ exemple.org”域) 将注册绑定更改为此新流程 配置领域以接受注册并验证电子邮件(这很重要!)
Keycloak中实现自定义SPI
最新发布
m0_49294242的博客
10-31 572
Keycloak提供了强大的插件扩展机制,本文介绍了如何实现一个自定义的SPI来扩展keycloak的功能。
keycloak-ezgroups-custom-admin-api:这是keycloak的管理员响应api扩展
03-04
Keycloak的管理员响应API(Admin REST API)是开发者用来与Keycloak服务器进行交互的主要接口,通过HTTP/REST协议,可以执行如创建、更新或删除用户、角色、客户端、身份提供商等操作。然而,标准的API可能无法满足...
Keycloak自定义用户存储实现指南及演示
通过实现SPI提供的接口,可以将Keycloak用户数据的读取、创建、更新、删除等操作委托给自定义用户存储系统。 在文档中提到的演示项目"keycloak-user-storage",是一个如何将Keycloak连接到一个不受支持的用户存储...
Keycloak服务开发-认证服务SPI
JosephThatwho的博客
07-26 3797
keycloak的认证服务提供接口
如何给 Keycloak 用户加上“部门”、“电话”等自定义属性
surfirst的博客
08-15 1225
本文详细介绍了如何通过 keycloak 的 user attribute 特性给 JWT token 增加自定义属性的功能。通过这个功能,我们就可以给 keycloak 用户添加我们想要的属性了。
keycloak应用于rest资源保护的springboot端源码
07-24
这个是一个用keycloak保护rest资源的例子,里面的keycloak端配置请看博客讲解https://blog.youkuaiyun.com/hb_688/article/details/81180709
keycloak应用于保护rest资源
咸蛋超人的优快云博客
07-24 6903
keycloak配置 创建一个realm 创建两个role 创建两个user,他别属于两个role user001属于user,user002属于user_pre和user,并将他们的密码都设为1  创建一个client, 并指定重定向uri,开启授权,别忘了保存   然后选中authorization,接下来我们来设置三个东西:resource,policy,permiss...
keycloak~自定义SPI的注入与扩展
m0_68064743的博客
04-26 3143
项目结构 自定义SPI注册 1. 直接复制文件方式 docker cp keycloak-service-self-spi.jar keycloak:/opt/ docker cp module-one-add.cli keycloak:/opt/ docker exec -it keycloak bash $JBOSS_HOME/bin/jboss-cli.sh --file=/opt/module-one-add.cli 使用docker commit保存你当前容器为一个新的镜像,然后启动它即可
[Keycloak] - 自定义SPI和插件
07-04 1110
众所周知,我们可以扩展Keycloak提供的SPI插件,可以新增Keycloak的SPI吗?答案是肯定的。这篇文件,我们希望实现将Keycloak信息发布到MQTT,这个信息可以是Keycloak事件信息,也可以是邮件信息。代码在这里Gitee,这个项目中,定义了“mqttPublisher”的SPI,下面详细介绍代码。引入mqtt3的包: 注意下,scope必须是provider,这是因为本项目只是一个插件,mqtt3的依赖包需要在发布时手工拷贝到keycloak server 中。定义服务接口
使用keycloak自定义SPI接入外部用户登录
qq_41916305的博客
09-24 2930
如果keycloak启动正常,打开控制台,点击左侧的 用户联合菜单,右侧的下拉列表中就能看到我们刚才添加的提供器,名字为 custom-user-provider。1、准备用户表,这些字段是必须的,不过字段名可以自定义,会在自定义的SPI中固定字段名,查询数据库的字段需要映射到实体的字段。6、创建提供者工厂,在keycloak管理界面添加用户联盟时的自定义的配置信息,主要是数据库连接。查看效果,点击用户然后查看所有能够查看到数据库的用户,然后就能用数据库的用户进行登录了!
使用keycloak自定义SPI接入外部用户角色
qq_41916305的博客
09-24 839
将项目打成jar包,放到keyclaok对应位置,启动keyclaok,创建用户联盟,成功之后可以在角色界面查看到对应库中的所有角色,并且点击对应用户可查看已经分配的角色。第一点:该类修改的地方在于校验数据库连接后添加所有角色到keycloak,这一步可以忽略掉,也可以在用户登录验证成功之后添加用对应的角色。我这里获取角色的字段是固定的,没有通过提供者工厂配置查询角色字段的对应,有需要的话可以参考用户实体字段的映射配置。2、修改用户实体(BaseUserEntity),添加角色关联id和角色名称。
KeyCloak自定义用户(SPI)开发,连接postgresql数据库,自定义连接配置,权限授权
qq_41504081的博客
08-17 2189
keycloak自定义用户(SPI)开发,连接Postgresql,外部存储,权限授予,自定义数据库连接配置
(四)keycloak 自定义用户(SPI)开发
07-27 4619
keycloak自定义用户
Keycloak自定义实现第三方登录
austindev的博客
07-26 6912
Keycloak自定义实现第三方登录 第三方Oauth登录 由于对接的第三方IDP不一定都是标准的openid connect实现,所以都需要根据第三方的Oauth文档进行定制; Keycloak对于新增Social IDP的实现,都是标准,以及灵活的; 我们完全可以参照 Keycloak 本身已实现的Github LinkedIn等,快速实现我们的需求; 我们这里以酷家乐的Oauth2 接口进行说明 酷家乐 Oauth2接口分析 请求code的参数及返回都是标准的,这里无需进行修改 换取token接
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值