keycloak~RequiredActionProvider的使用

原創 張佔嶺 2024-04-11 14:12

使用場景

RequiredActionProvider,它是在認證過程中,需要當前登錄的用戶執行個性化的動作;當用戶符合條件,就被執行RequiredActionProvider對作,當RequiredActionProvider沒有正常提交(context.success())之前,當前用戶仍然是未登錄狀態,這在keycloak框架中,也有一些默認的個性化動作,它與整個登錄流程是解耦的,事實上,keycloak的設計理念也是微架構設計,插件化設計。

keycloak默認提供的RequiredActionProvider

  • VERIFY_EMAIL 驗證郵箱
  • UPDATE_PROFILE 更新用戶信息
  • CONFIGURE_TOTP 配置totp多因子認證
  • UPDATE_PASSWORD 強制更新密碼,用在臨時建立的密碼場景(CredentialRepresentation中的isTemporary爲true時執行)
  • TERMS_AND_CONDITIONS 用戶在首次登錄時會被要求查看並接受特定的服務條款和條件
  • VERIFY_PROFILE 驗證個人信息

keycloak後臺配置RequiredActionProvider

在側-驗證菜單,選擇Required Action標籤,可以管理它們,開啓或者設置成默認,同時也可以添加自定義的RequiredActionProvider

1 配置列表

2 添加新的Required Action

自定義的RequiredActionProvider

下面我們添加一個自定義的RequiredActionProvider,業務場景是,當登錄用戶名前綴是test時,就讓這個用戶去驗證手機號

1 添加一個UpdatePhoneNumberRequiredAction文件,讓它實現RequiredActionProvider接口

public class UpdatePhoneNumberRequiredAction implements RequiredActionProvider {

    public static final String PROVIDER_ID = "UPDATE_PHONE_NUMBER";

    @Override
    public void evaluateTriggers(RequiredActionContext context) {
    }

    @Override
    public void requiredActionChallenge(RequiredActionContext context) {
        Response challenge = context.form()
                .createForm("login-update-phone-number.ftl");
        context.challenge(challenge);
    }

    @Override
    public void processAction(RequiredActionContext context) {
        TokenCodeServiceProvider tokenCodeServiceProvider = context.getSession().getProvider(TokenCodeServiceProvider.class);
        String phoneNumber = context.getHttpRequest().getDecodedFormParameters().getFirst("phoneNumber");
        String code = context.getHttpRequest().getDecodedFormParameters().getFirst("code");
        try {
            tokenCodeServiceProvider.validateCode(context.getUser(), phoneNumber, code);
            context.success();
        } catch (BadRequestException e) {

            Response challenge = context.form()
                    .setError("noOngoingVerificationProcess")
                    .createForm("login-update-phone-number.ftl");
            context.challenge(challenge);

        } catch (ForbiddenException e) {

            Response challenge = context.form()
                    .setAttribute("phoneNumber", phoneNumber)
                    .setError("verificationCodeDoesNotMatch")
                    .createForm("login-update-phone-number.ftl");
            context.challenge(challenge);
        }
    }

    @Override
    public void close() {
    }
}

2 添加UpdatePhoneNumberRequiredActionFactory文件,讓它去構建上面的UpdatePhoneNumberRequiredAction實例

public class UpdatePhoneNumberRequiredActionFactory implements RequiredActionFactory {

    private static final UpdatePhoneNumberRequiredAction instance = new UpdatePhoneNumberRequiredAction();

    @Override
    public String getDisplayText() {
        return "";
    }

    @Override
    public RequiredActionProvider create(KeycloakSession session) {
        return instance;
    }

    @Override
    public void init(Scope scope) {
    }

    @Override
    public void postInit(KeycloakSessionFactory sessionFactory) {
    }

    @Override
    public void close() {
    }

    @Override
    public String getId() {
        return UpdatePhoneNumberRequiredAction.PROVIDER_ID;
    }
}

3 在resources/META-INF/services/文件夾下,添加org.keycloak.authentication.RequiredActionFactory文件,通過SPI的方式,註冊咱們的UpdatePhoneNumberRequiredActionFactory工廠

org.keycloak.phone.authentication.requiredactions.UpdatePhoneNumberRequiredActionFactory

4 添加咱們這個UpdatePhoneNumberRequiredActionFactory,它在keycloak後臺RequiredActionProvider中,顯示的名稱是“Update Phone Number”,我們去添加並開啓它

5 在brower的認證流程中,你需要在context.success()之前去判斷用戶名的前綴,併爲它指定RequiredAction,如果是對所有用戶有效的,那不需要添加以下代碼,可以把它在keycloak後臺,設置爲“默認”行爲即可。

  • 要想使RequiredAction生效,需要先在keycloak後臺啓用它
  • 如果希望對新建用戶啓用它,需要先在keycloak後臺啓用它,並開啓“默認”選項【默認是對新用戶來說的,老用戶不受這個值的控制,就是說你新建一個requiredAction,沒有任何規則,如果你開啓+默認,那它只對所有新建用戶有效】
  • 要想對某些規則的用戶啓用它,需要在form表單認證時,添加對應的業務邏輯,可以添加自定義的"Authenticator"來實現這個邏輯,儘量不修改之前的核心代碼,注意,如果你在後臺開啓了默認選項,那對於新用戶也會進入的,不會受規則的約束;爲了解決這個問題,我們在添加規則時,對不符合的用戶應該添加context.getUser().removeRequiredAction的邏輯代碼。
  • 當前用戶執行的RequiredAction步驟,會在數據表user_required_action中存儲,用戶每次登錄都會檢查這個表的狀態,如果用戶存在這表裏,你的對應的RequiredAction關閉了,事實上,當前這個老用戶在登錄時依然會走這個RequiredAction邏輯。
  • 注意,這個user_required_action表產生的數據會有緩存,只刪除數據表記錄是不起作用的,需要重啓keycloak
  • 這個user_required_action表裏對應的用戶數據,當用戶成功驗證後,這條數據會被刪除,下次用戶再登錄,就不會出現required_action了
  if(context.getUser().getUsername().startsWith("test")){
      context.getUser().addRequiredAction(UpdatePhoneNumberRequiredAction.PROVIDER_ID);
    }else{ // 避免開啓默認行爲時,新用戶受到影響
      context.getUser().removeRequiredAction(UpdatePhoneNumberRequiredAction.PROVIDER_ID);
    }
  context.success();

整個RequiredAction配置和執行的流程

好了,到目前來說,咱們用戶名登錄時,前綴爲test的用戶,都會走這個手機驗證的界面了,在驗證成功前,用戶是不能直接登錄的。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

《期貨-市場技術分析》讀書筆記

第二本技術分析書籍,《期貨-市場分析技術》: 書中的很多內容,如趨勢、趨勢線、阻力、支撐等,也象《日本蠟燭圖》一樣,沒有邏輯推理過程,沒有數據驗證。但是我認可其確實有一定的心理暗示作用。因爲我在聽很多技術分析大 V 的視頻時,他們中的大部

BloodyAngel 2024-04-29 14:32:19

《日本蠟燭圖》讀書筆記 & 技術分析回測

最近想做一些現金流的策略,所以決定把技術分析研究得更加深入一些。朋友推薦了幾本書:《日本蠟燭圖》、《期貨市場技術分析》、《纏論》,我想挨個把它們看完,同步也嘗試做一些量化技術策略。 日本蠟燭圖 下面這本書就是上面所說的第一本: 其實,我是

BloodyAngel 2024-04-29 14:32:19

pytest lastfailed原理

相信很多使用pytest的,都知道pytest有運行上次失敗用例的參數,如下: --lf, --last-failed rerun only the tests that failed at the last run (or all

Believer007 2024-04-29 14:24:29

一個開源輕量級的C#代碼格式化工具(支持VS和VS Code)

前言 C#代碼格式化工具除了ReSharper和CodeMaid,還有一款由.NET開源、免費(MIT License)、輕量級的C#語言代碼格式化工具:CSharpier。 工具介紹 CSharpier是一款開源、免費、輕量級的C#語言代

追逐時光 2024-04-29 14:22:08

頂級 Javaer 都在用的 20 個類庫,真香!

優秀且經驗豐富的Java開發人員的特徵之一是對API的廣泛瞭解,包括JDK和第三方庫。 我花了很多時間來學習API,尤其是在閱讀了Effective Java 3rd Edition之後 ,Joshua Bloch建議在Java 3rd E

Java技術棧 2024-04-29 14:21:48

Linux內核之SPI協議

SPI(Serial Peripheral Interface,串行外設接口)是一種同步串行的行業標準,但是並沒有像I2C那樣有標準文檔,它還有主從、可片選的特性。 圖源自Serial Peripheral Interface-wikip

藍天上的雲℡ 2024-04-29 14:21:38

mongodb處理json數據很好

mysql只適合處理簡單的一級數據表 複雜嵌套的json用mongodb mongodb實現: 插入: //切記數字不要帶引號,帶引號就字符串了,就無法比較大小了. //每一個對象都用{}包起來.這樣查詢時候方便多了.雖然插入寫起

張博的博客 2024-04-29 14:20:08

【Nano Framework ESP32篇】使用 LCD 屏幕

在開始主題之前,先介紹一個刷固件工具。這個工具在 idf 中是集成的,不過,樂鑫也單獨發佈了這個工具—— esptool。下載鏈接:Releases · espressif/esptool · GitHub。這貨是用 Python 寫的,只

東邪獨孤 2024-04-29 14:16:57

雙token+redis(token無感刷新)

爲什麼要使用雙token+redis呢?單token+redis+自動續期不行嗎? 單token+redis的缺點: 可能會出現用戶正在操作的時候,token過期了,讓用戶重新登錄的情況。 單token+redis+自動續期的缺點: 單to

uper超人 2024-04-29 14:15:37

cookie,session,token的區別

cookie,session,token它們本質上不是同一個東西。但是都跟維持狀態信息有關係。 什麼是狀態信息呢? 我來用一個登錄來個大家講解。 如果我們登錄以後,希望後續的所有的頁面都維持登錄的狀態,那我們就需要用剛剛講到的cookie,

uper超人 2024-04-29 14:15:37

Asp .Net Core 系列:國際化多語言配置

目錄概述術語本地化器IStringLocalizer在服務類中使用本地化IStringLocalizerFactoryIHtmlLocalizerIViewLocalizer資源文件區域性回退配置 CultureProvider內置的 Re

IT技術派 2024-04-29 14:14:57

編譯原理PL0語法分析實驗1

編譯原理PL0語法分析實驗1 1,待分析的簡單語言的詞法相同點:都是分析種別碼不同點:詞法分析器分析的是字符串中的單詞的種別碼(單詞)語法分析器分析的是字符串的文法是否正確(句子)待分析的簡單語言的語法 BNF:(1)<程序>::=begi

孤獨的貓 2024-04-29 14:13:26

google瀏覽器插件開發

項目結構 在開發Chrome插件時,以下幾個文件的作用如下: manifest.json:這是Chrome插件的清單文件,用於配置插件的基本信息、權限、頁面跳轉等。其中包括插件的名稱、版本號、圖標、後臺腳本、瀏覽器動作等信息。 ba

張佔嶺 2024-04-29 14:12:46

element表單中選擇 el-date-picker 選擇後沒反應

折騰一早上沒有用直到百度到了 https://blog.csdn.net/KeepReal666/article/details/134471038 解決辦法:直接加上@input="$forceUpdate()"即可。

York 2024-04-29 14:09:56

什麼是SQL 語句中相關子查詢與非相關子查詢

1.什麼是SQL子查詢 要理解相關子查詢和非相關子查詢,我們得首先理解什麼是子查詢,子查詢是指在一個查詢語句中嵌套的另一個查詢語句。 子查詢可以嵌套在其他查詢語句中,如 SELECT、INSERT、UPDATE、DELETE 等,它作爲一個

魯邊 2024-04-29 14:06:35