Keycloak 入门使用第二篇
- User Storage SPI
- Java Admin API
- 踩坑
在上一篇介绍了Keycloak的基本使用 Keycloak入门使用第一篇,本文会继续介绍keycloak的其他内容。
User Storage SPI
如果你不想所有的用户数据都存储在keycloak的数据库中,你想要用户的部分数据存储在你自己的数据库。Keycloak提供联合存储来解决这种情景,通过实现User Storage SPI接口,可以做到将部分用户数据存储到你自己的数据库中,而另一部分用户数据存储在keycloak的数据库中。
- UserStorageProvider简介
SPI 接口 | 实现功能 |
UserStorageProvider | 自定义的StorageProvider必须要实现的接口 |
UserLookupProvider | 实现后,可以根据userId/username从你自己的数据中查询用户数据 |
UserRegistrationProvider | 实现后,可以往自己数据库中增加删除修改用户数据 |
CredentialInputUpdater | 实现后,可以更新密码 |
CredentialInputValidator | 验证密码的逻辑 |
UserQueryProvider | 从自己数据库中查询用户 |
关于这个这里就不show出代码具体讲解了。有需要可以查看我github的例子,有两个例子,一个是根据官方文档实现的一个demo,另一个是参考网上资料实现的结合JPA的一个例子
github User Storage SPI 例子官方User Storage SPI 文档
Java Admin API
Keycloak提供 Rest API 用于管理keycloak几乎所有的用户认证授权数据对象,如创建用户、查询用户、创建角色、查询会话等的API.
Keycloak Rest API
另外,Keycloak将这些Rest Api封装成了一个java库,你只要提供keycloak服务器连接信息,就可以直接调用java api 去操作keycloak数据对象了。
<dependency>
<groupId>org.keycloak</groupId>
<artifactId>keycloak-admin-client</artifactId>
<version>11.0.2</version>
</dependency>- 第一步,传入连接信息,构造上限文对象
package com.kelvin.adminclient;
import org.jboss.resteasy.client.jaxrs.ResteasyClientBuilder;
import org.keycloak.admin.client.Keycloak;
import org.keycloak.admin.client.KeycloakBuilder;
public class KeycloakHelper {
private static Keycloak keycloak;
public static Keycloak getInstance() {
if (keycloak == null) {
synchronized (KeycloakHelper.class) {
keycloak = initialKeycloakClient();
}
}
return keycloak;
}
private static Keycloak initialKeycloakClient() {
return KeycloakBuilder.builder()
.serverUrl("http://localhost:8080/auth")
.realm("master")
.username("admin")
.password("admin")
.clientId("admin-cli")
.resteasyClient(new ResteasyClientBuilder().connectionPoolSize(10).build())
.build();
}
}- 第二步,操作对象即可。例如查询所有的realm
public class KeycloakDemo {
public static void main(String[] args) {
List<RealmRepresentation> realms = KeycloakHelper.getInstance().realms().findAll();
for (RealmRepresentation realm : realms) {
System.out.println(realm.getId());
}
}
}踩坑
这部分记录一下自己遇到的一些坑以及一些小知识点吧
- 实现ajax请求session 过期以后提示用户session 过期
router.all('*', async (ctx, next) => {
if (_checkSkippedUrl(ctx.originalUrl)) {
await next()
} else {
const { request } = ctx
if (_isAjaxRequest(ctx) && (!request.kauth || !request.kauth.grant)) {
ctx.status = 401
} else {
return keycloakProtect(ctx, next)
}
}
}如果是ajax请求,而且session过期(看源码就知道 request.kauth.grant是underfined)就返回401,那么在前端页面拦截reponse的code是401,则弹出session过期提示。
- 实现多个web server一致logout
使用token这种机制,我们都希望的是单点登录。比如我有两个web服务,在一个服务登录成功以后,那么访问另一个服务就不用登录;同理我在一个服务退出登录了,那么另一个服务应该也要退出登录。
Keycloak提供了一个admin url,对于两个web sever,我需要注册两个client,在client里面都需要设置admin url.
那么当一个服务退出登录的时候,keycloak会找到该realm下所有配置了admin url的client,并且想这些client发送请求(adminUrl/k_logout),通知他们对应的web server将自己session中的token删除,从而实现一致退出登录。
查看源码可以知道有一个中间件里面就有一个 /k_logout的api,用于接收keycloak的退出请求。
- 统计在线用户数
使用redis存储session,然后统计session的个数就行了。但是如果的多client连接keycloak的话,就会有一些坑在里面。
const RedisStore = require('koa-redis')
const redisStore = new RedisStore(redisConfig)
const keycloak = new Keycloak(
{
store: redisStore
},
keycloakConfig
)const Redis = require('redis')
const RedisStore = require('connect-redis')(session)
const redisStore = new RedisStore({client: Redis.createClient(redisConfig), prefix: sessionIdPrefix})
const keycloak = new KeycloakConnect({store: redisStore}, keycloakConfig)
