只读联合用户的Keycloak OTP
问题描述 投票:0回答:3
我已经为我们数据库中的联合用户实现了自定义用户存储提供程序。
我想通过 keycloak 为这些用户管理 OTP,当我在流程中将 OTP 设置为必需并将 OTP 配置为必需操作时,联合用户登录后会显示 OTP 表单,但是当我尝试设置 OTP 时,我收到错误用户对于此更新是只读的。
如何允许只读联合用户通过 keycloak 进行 OTP 配置?
2022-01-31 17:00:12,704 ERROR [org.keycloak.services.error.KeycloakErrorHandler] (default task-669) Uncaught server error: org.keycloak.storage.ReadOnlyException: user is read only for this update
at [email protected]//org.keycloak.storage.adapter.AbstractUserAdapter.removeRequiredAction(AbstractUserAdapter.java:77)
at [email protected]//org.keycloak.services.resources.LoginActionsService.processRequireAction(LoginActionsService.java:1044)
at [email protected]//org.keycloak.services.resources.LoginActionsService.requiredActionPOST(LoginActionsService.java:967)
用户适配器是
public class UserAdminAdapter extends AbstractUserAdapter {
private final CustomUser user;
public UserAdminAdapter(
KeycloakSession session,
RealmModel realm,
ComponentModel storageProviderModel,
CustomUser user) {
super(session, realm, storageProviderModel);
this.user = user;
}
@Override
public String getUsername() {
return user.getUsername();
}
@Override
public Stream<String> getAttributeStream(String name) {
Map<String, List<String>> attributes = getAttributes();
return (attributes.containsKey(name)) ? attributes.get(name).stream() : Stream.empty();
}
@Override
protected Set<GroupModel> getGroupsInternal() {
if (user.getGroups() != null) {
return user.getGroups().stream().map(UserGroupModel::new).collect(Collectors.toSet());
}
return new HashSet<>();
}
@Override
protected Set<RoleModel> getRoleMappingsInternal() {
if (user.getRoles() != null) {
return user.getRoles().stream().map(roleName -> new UserRoleModel(roleName, realm)).collect(Collectors.toSet());
}
return new HashSet<>();
}
@Override
public boolean isEnabled() {
return user.isEnabled();
}
@Override
public String getId() {
return StorageId.keycloakId(storageProviderModel, user.getUserId() + "");
}
@Override
public String getFirstAttribute(String name) {
List<String> list = getAttributes().getOrDefault(name, Collections.emptyList());
return list.isEmpty() ? null : list.get(0);
}
@Override
public Map<String, List<String>> getAttributes() {
MultivaluedHashMap<String, String> attributes = new MultivaluedHashMap<>();
attributes.add(UserModel.USERNAME, getUsername());
attributes.add(UserModel.EMAIL, getEmail());
attributes.add(UserModel.FIRST_NAME, getFirstName());
attributes.add(UserModel.LAST_NAME, getLastName());
attributes.addAll(user.getAttributes());
return attributes;
}
@Override
public String getFirstName() {
return user.getFirstName();
}
@Override
public String getLastName() {
return user.getLastName();
}
@Override
public String getEmail() {
return user.getEmail();
}
}
3个回答
4
投票
投票
原因是在你的
UserAdminAdapterremoveRequiredActionaddRequiredActionAbstractUserAdapterFederatedStorage2
投票
投票
我的外部数据库中的完整 OTP 支持
好吧,一个多星期后,我终于在 Keycloak 18.0 上使用了它。您需要做什么?简单地说,您必须实现身份验证工作流程中的每一步:
- 创建您的用户存储 SPI
- 实施凭证更新 SPI
- 实现自定义凭证提供程序 SPI
- 实现自定义所需操作 SPI
- 实施您的验证器 SPI
- 实施您的表格(我有点使用 KC 的内部 OTP 表格)
- 启用您所需的操作
- 创建浏览器工作流程的副本并粘贴您的身份验证器
我们能得到什么?
- 我们获得了完全可定制的 OTP 身份验证器(领域的政策待定......)
- 您可以使用该代码在您的应用程序中进行验证(它位于您的数据库中)
- 您可以在应用程序中设置用户进行 OTP 身份验证(不涉及 KC 管理页面,因此,您可以将管理页面保留在防火墙之外)
在我看来,这有点烦人,因为我们必须进行很多循环才能在本地存储数据以及如何处理集成的 OTP 表单(为了“自然的外观”),但它给出了我完全控制我的 OTP 集成,而且,我可以备份我的数据库,并且它们的 OTP 身份验证仍然存在,因此,如果我在 KC 升级中失败或它被损坏,我仍然拥有所有数据。
最后,当您的经理拥有自定义 OTP 身份验证时,这应该是这样的
0
投票
投票
我可以提供一个更简单的解决方案,该解决方案目前正在生产中。我所做的唯一改变是实施
UserStorageProvidersupportsCredentialTypeisConfiguredForisValidUserAdapterUserCredentialManagercredentialManagerKeycloak 从版本 23 开始运行,我注意到浏览器身份验证流程支持条件 OTP 流程。
以下是我的实现中提到的方法:
@Override
public boolean supportsCredentialType(String credentialType) {
return PasswordCredentialModel.TYPE.equals(credentialType) || OTPCredentialModel.TYPE.equals(credentialType);
}
@Override
public boolean isConfiguredFor(RealmModel realm, UserModel user, String credentialType) {
return switch (credentialType) {
case PasswordCredentialModel.TYPE -> true;
case OTPCredentialModel.TYPE -> client.isConfiguredFor(user.getEmail(), credentialType);
default -> false;
};
}
@Override
public boolean isValid(RealmModel realm, UserModel user, CredentialInput credentialInput) {
if (!this.supportsCredentialType(credentialInput.getType()) || !(credentialInput instanceof UserCredentialModel)) {
return false;
}
return client.validate(user.getEmail(), credentialInput.getChallengeResponse(), credentialInput.getType());
}
这意味着不需要自定义凭据更新 SPI、不需要所需操作 SPI、不需要身份验证器 SPI,也不需要自定义身份验证流程。
完整的实现可以在这里找到:https://github.com/systemli/userli-keycloak-provider
最新问题
- 如何在 SQL 查询中使用 SQL 函数
- 使用 Zapier 的 Telegram 自定义消息格式
- 如何使用 jq 提取对象内的第一个字符串,同时忽略对象(子组件)中的列表?
- 匹配方括号之间的字符,但前提是括号内的文本遵循模式
- 如果外部事务范围未完成,内部事务范围是否会回滚?
- 无法使用React测试库渲染react-tooltip v5
- xquery 转换在元素中创建空命名空间
- _Layout 中的 CSS 未应用
- 即使在调用连接方法后,Flutter 仍可与 BLE 设备连接
- 如何使用 Pillow 在 Python 中为文本添加可自定义的阴影?
- 更改 Excel oledb 连接的数据源
- java脚本:rowcount = x为什么${rowcount + 1}总是显示1
- Next.js 15 Supabase SSR 身份验证:我无法保护重置密码路由
- 如何使用 jq 提取大括号内的第一个字符串,同时忽略小节括号?
- 从不同元素调用时,重复的 console.log() 计数会重置
- 如何卸载Postgis?
- 如何解决 Visual C++ 编译器中的错误 C1001?
- 我们可以在自定义任务中设置ADF参数值或链接的服务连接字符串吗
- Azure Web App 部署日志显示到 Azure DevOps Pipeline 的错误链接
- 如何在 PowerShell 中抑制 ExecuteNonQuery 命令的输出
© www.soinside.com 2019 - 2024. All rights reserved.