Al integrar Keycloak en un sistema existente, es muy probable que tenga que cargar usuarios desde una base de datos antigua durante la autenticación, donde la información sobre ellos se puede almacenar en una forma bastante elegante. Esta tarea se resuelve creando su propio proveedor de usuarios (Proveedor de federación de usuarios en la terminología de Keycloak). A continuación se muestra una breve guía para escribir un proveedor de este tipo.
En caso de que no esté familiarizado con Keycloak, aquí hay una cita de Wikipedia:
Keycloak es un producto de inicio de sesión único de código abierto con control de acceso, destinado a aplicaciones y servicios modernos.
En el mundo moderno de los microservicios, Keycloak es interesante principalmente como proveedor de OAuth 2.0, con el que puede emitir tokens a los clientes para que accedan a ciertos servicios.
Técnicamente, Keycloak es una aplicación web dentro del servidor WildFly, que puede poner la piel de gallina en los recuerdos de una empresa sangrienta. Pero basta de teoría, ¡es hora de arremangarse!
Nuestro complemento Keycloak será una pequeña aplicación empaquetada de WAR. Para construirlo bastará con Java 8. Tome Gradle como herramienta de compilación y especifique los siguientes módulos en las dependencias:
compileOnly "org.keycloak:keycloak-core:12.0.3"
compileOnly "org.keycloak:keycloak-server-spi:12.0.3"
compileOnly "org.jboss.logging:jboss-logging:3.4.1.Final"
implementation "org.springframework:spring-core:5.3.3"
implementation "org.springframework:spring-jdbc:5.3.3"
implementation "org.springframework.security:spring-security-core:5.4.4"
testImplementation platform('org.junit:junit-bom:5.7.1')
testImplementation 'org.junit.jupiter:junit-jupiter'
testImplementation 'org.mockito:mockito-core:3.7.7'
testRuntimeOnly 'javax.ws.rs:javax.ws.rs-api:2.1.1'
testRuntimeOnly 'com.h2database:h2:1.4.200'
Spring Framework , , Spring. , .
- Keycloak. , Keycloak .
JBoss Logging, "" WildFly. , , - , SLF4J.
io.freefair.lombok
.
Keycloak org.keycloak.storage.UserStorageProvider
, , . , , , org.keycloak.storage.user.UserLookupProvider
org.keycloak.credential.CredentialInputValidator
. , . - . .
org.keycloak.models.UserModel
( ). org.keycloak.storage.adapter.AbstractUserAdapter
, org.keycloak.models.UserModel
:
public class LegacyDatabaseUserModel extends AbstractUserAdapter {
public static final String ATTRIBUTE_PASSWORD = "password";
private final MultivaluedHashMap<String, String> attributes = new MultivaluedHashMap<>();
private final Set<RoleModel> roles;
private LegacyDatabaseUserModel(Builder builder) {
super(builder.session, builder.realm, builder.storageProviderModel);
this.attributes.putSingle(UserModel.USERNAME, builder.username);
this.attributes.putSingle(UserModel.FIRST_NAME, builder.firstName);
this.attributes.putSingle(UserModel.LAST_NAME, builder.lastName);
this.attributes.putSingle(ATTRIBUTE_PASSWORD, builder.password);
this.roles = Collections.unmodifiableSet(builder.roles);
}
public static Builder builder() {
return new Builder();
}
@Override
public String getUsername() {
return getFirstAttribute(UserModel.USERNAME);
}
@Override
public String getFirstName() {
return getFirstAttribute(UserModel.FIRST_NAME);
}
@Override
public String getLastName() {
return getFirstAttribute(UserModel.LAST_NAME);
}
@Override
public Map<String, List<String>> getAttributes() {
return new MultivaluedHashMap<>(attributes);
}
@Override
public String getFirstAttribute(String name) {
return attributes.getFirst(name);
}
@Override
public List<String> getAttribute(String name) {
return attributes.get(name);
}
@Override
protected Set<RoleModel> getRoleMappingsInternal() {
return roles;
}
public static class Builder {
...
}
}
, , , - . Map
, , - .
org.keycloak.models.RoleModel
. , :
@AllArgsConstructor
public class LegacyDatabaseRoleModel implements RoleModel {
@Getter
private final RoleContainerModel container;
@Getter
private final String name;
@Override
public String getId() {
return getName();
}
@Override
public void setName(String name) {
throw new ReadOnlyException("Role is read only for this update");
}
@Override
public String getDescription() {
return null;
}
@Override
public void setDescription(String description) {
throw new ReadOnlyException("Role is read only for this update");
}
@Override
public boolean isComposite() {
return false;
}
@Override
public void addCompositeRole(RoleModel role) {
throw new ReadOnlyException("Role is read only for this update");
}
@Override
public void removeCompositeRole(RoleModel role) {
throw new ReadOnlyException("Role is read only for this update");
}
@Override
public Stream<RoleModel> getCompositesStream() {
return Stream.empty();
}
@Override
public boolean isClientRole() {
return false;
}
@Override
public String getContainerId() {
return container.getId();
}
@Override
public boolean hasRole(RoleModel role) {
return false;
}
@Override
public Map<String, List<String>> getAttributes() {
return Collections.emptyMap();
}
@Override
public void setSingleAttribute(String name, String value) {
throw new ReadOnlyException("Role is read only for this update");
}
@Override
public void setAttribute(String name, List<String> values) {
throw new ReadOnlyException("Role is read only for this update");
}
@Override
public void removeAttribute(String name) {
throw new ReadOnlyException("Role is read only for this update");
}
@Override
public Stream<String> getAttributeStream(String name) {
return Stream.empty();
}
}
, . , - .
. . . :
private final ConcurrentMap<UserModelKey, LegacyDatabaseUserModel> loadedUsers = new ConcurrentHashMap<>();
@Override
public LegacyDatabaseUserModel getUserByUsername(String username, RealmModel realm) {
UserModelKey userKey = new UserModelKey(username, realm.getId());
return loadedUsers.computeIfAbsent(userKey, k -> {
LegacyDatabaseUserModel user = findUserByName(username, realm);
if (user != null) {
log.debugv("User is loaded by name \"{0}\"", username);
}
return user;
});
}
, Keycloak . java.util.concurrent.ConcurrentMap
. findUserByName
, org.springframework.jdbc.core.JdbcTemplate
org.springframework.jdbc.core.ResultSetExtractor
, , .
private LegacyDatabaseUserModel findUserByName(String username, RealmModel realm) {
return jdbcTemplate.query(SQL_FIND_USER_BY_NAME, new Object[]{username}, new int[]{Types.VARCHAR},
new LegacyDatabaseUserModelResultSetExtractor(realm));
}
@RequiredArgsConstructor
private class LegacyDatabaseUserModelResultSetExtractor implements ResultSetExtractor<LegacyDatabaseUserModel> {
final RealmModel realm;
@Override
public LegacyDatabaseUserModel extractData(ResultSet rs) throws SQLException, DataAccessException {
if (!rs.next()) {
return null;
}
LegacyDatabaseUserModel.Builder userModelBuilder = LegacyDatabaseUserModel.builder()
.session(session)
.realm(realm)
.storageProviderModel(storageProviderModel)
.username(rs.getString(1))
.password(rs.getString(2))
.firstName(rs.getString(3))
.lastName(rs.getString(4))
.withRole(new LegacyDatabaseRoleModel(realm, rs.getString(5)));
while (rs.next()) {
userModelBuilder.withRole(new LegacyDatabaseRoleModel(realm, rs.getString(5)));
}
return userModelBuilder.build();
}
}
. :
@Override
public LegacyDatabaseUserModel getUserById(String id, RealmModel realm) {
StorageId storageId = new StorageId(id);
String username = storageId.getExternalId();
return getUserByUsername(username, realm);
}
: f:<storageProvideId>:<username>
. org.keycloak.storage.StorageId
.
, :
@Override
public boolean isValid(RealmModel realm, UserModel userModel, CredentialInput credentialInput) {
if (!supportsCredentialType(credentialInput.getType())) {
log.debugv("Credential type \"{0}\" is not supported", credentialInput.getType());
return false;
}
String password = user.getFirstAttribute(LegacyDatabaseUserModel.ATTRIBUTE_PASSWORD);
return passwordEncoder.matches(credentialInput.getChallengeResponse(), password);
}
, , ( ). . - Map
. org.keycloak.models.UserModel
, , "" isValid
com.habr.keycloak.model.LegacyDatabaseUserModel
- . org.springframework.security.crypto.password.PasswordEncoder
.
Keycloak . . org.keycloak.storage.UserStorageProviderFactory
. :
;
.
@Override
public void init(Config.Scope config) {
initDataSource();
initPasswordEncoder();
}
:
private PropertySource<Map<String, Object>> getPropertySource() {
if (propertySource == null) {
propertySource = getDefaultPropertySource();
}
return propertySource;
}
private PropertySource<Map<String, Object>> getDefaultPropertySource() {
return new PropertiesPropertySource("default", System.getProperties());
}
, Keycloak-way *.properties
, standalone.xml
:
@Override
public void init(Config.Scope config) {
String propertyFilePath = config.get("property-file-path");
...
.
, :
private void initDataSource() {
String driverClassName = getDataSourceDriverClassName();
String url = getDataSourceUrl();
SimpleDriverDataSource dataSource = new SimpleDriverDataSource();
try {
dataSource.setDriverClass((Class<? extends Driver>) Class.forName(driverClassName));
dataSource.setUrl(url);
dataSource.setUsername(getDataSourceUsername());
dataSource.setPassword(getDataSourcePassword());
this.dataSource = dataSource;
log.debugv("Data source to connect with database \"{0}\" is created", url);
} catch (ClassNotFoundException e) {
throw new IllegalStateException("JDBC driver class \"" + driverClassName + "\" is not found", e);
}
}
: WAR- , Keycloak. , , . , . Keycloak.
org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder
.
- Factory Finder', META-INF/services
org.keycloak.storage.UserStorageProviderFactory
, .
Como se indicó anteriormente, el complemento carga el controlador de la base de datos desde un módulo Keycloak específico. Para decirle a Keycloak que dependemos de este módulo, deberá crear adicionalmente un archivo jboss-deployment-structure.xml
en el directorio META-INF
:
<?xml version="1.0" encoding="UTF-8"?>
<jboss-deployment-structure>
<deployment>
<dependencies>
<module name="org.postgresql"/>
</dependencies>
</deployment>
</jboss-deployment-structure>
Para que Keycloak recoja nuestro complemento, debe colocarse (complemento) en el directorio $KEYCLOAK_HOME/standalone/deployments
. Si el complemento se implementa con éxito en el panel de administración de Keycloak, en la sección Federación de usuarios , será posible agregar un proveedor con un identificador habr.legacy-database
, después de lo cual podrá comenzar a emitir tokens.
El código fuente del complemento está disponible en GitHub .
Eso es todo. ¡Gracias por su atención!