Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

6.4. JavaScript 供应商

红帽构建的 Keycloak 能够在运行时执行脚本,以便管理员能够自定义特定功能:

  • 验证器
  • JavaScript 策略
  • OpenID Connect 协议映射程序
  • SAML 协议映射程序

6.4.1. 验证器
复制链接

身份验证脚本必须至少提供以下功能之一: authentication (..),从 Authenticator#authenticate (AuthenticationFlowContext)操作(.. )调用,它从 Authenticator#action (AuthenticationFlowContext)调用。

自定义 Authenticator 应该至少提供身份验证 (...) 功能。您可以在代码中使用 javax.script.Bindings 脚本。

script
用于访问脚本元数据的 ScriptModel
realm
RealmModel
user
当前 UserModel。请注意,如果在身份验证流中配置了脚本验证器时,用户就可以在另一个验证器成功下触发,并将该用户设置为身份验证会话。
会话
活跃的 KeycloakSession
AuthenticationSession
当前 身份验证SessionModel
httpRequest
当前的 org.jboss.resteasy.spi.HttpRequest
LOG
org.jboss.logging.Logger 限定到 scriptsBasedAuthenticator
注意

您可以从传递给 身份验证(context) 操作( context )函数的 context 参数中提取其他上下文 信息。 

AuthenticationFlowError = Java.type("org.keycloak.authentication.AuthenticationFlowError");

function authenticate(context) {

  LOG.info(script.name + " --> trace auth for: " + user.username);

  if (   user.username === "tester"
      && user.getAttribute("someAttribute")
      && user.getAttribute("someAttribute").contains("someValue")) {

      context.failure(AuthenticationFlowError.INVALID_USER);
      return;
  }

  context.success();
}
Copy to Clipboard Toggle word wrap

6.4.1.1. 在什么位置添加脚本验证器
复制链接

可以使用脚本验证器是在身份验证结束时进行一些检查。请注意,如果您希望脚本验证器总是被触发(即使在使用身份 Cookie 的 SSO 重新身份验证过程中为实例),您可能需要将它添加为身份验证流末尾的 REQUIRED,并将现有的验证器封装到单独的 REQUIRED 身份验证子流中。这需要是因为 REQUIRED 和 ALTERNATIVE 执行不应处于相同的级别。例如,身份验证流配置应如下所示: 

- User-authentication-subflow REQUIRED
-- Cookie ALTERNATIVE
-- Identity-provider-redirect ALTERNATIVE
...
- Your-Script-Authenticator REQUIRED
Copy to Clipboard Toggle word wrap

6.4.2. 使用要部署的脚本创建 JAR
复制链接

注意

JAR 文件是带有 .jar 扩展名的常规 ZIP 文件。

为了使您的脚本可供红帽构建的 Keycloak 使用,您需要将它们部署到服务器。为此,您应该创建具有以下结构的 JAR 文件: 

META-INF/keycloak-scripts.json

my-script-authenticator.js
my-script-policy.js
my-script-mapper.js
Copy to Clipboard Toggle word wrap

META-INF/keycloak-scripts.json 是一个文件描述符,提供了有关您要部署的脚本的元数据信息。它是具有以下结构的 JSON 文件: 

{
    "authenticators": [
        {
            "name": "My Authenticator",
            "fileName": "my-script-authenticator.js",
            "description": "My Authenticator from a JS file"
        }
    ],
    "policies": [
        {
            "name": "My Policy",
            "fileName": "my-script-policy.js",
            "description": "My Policy from a JS file"
        }
    ],
    "mappers": [
        {
            "name": "My Mapper",
            "fileName": "my-script-mapper.js",
            "description": "My Mapper from a JS file"
        }
    ],
    "saml-mappers": [
        {
            "name": "My Mapper",
            "fileName": "my-script-mapper.js",
            "description": "My Mapper from a JS file"
        }
    ]
}
Copy to Clipboard Toggle word wrap

此文件应该引用您要部署的不同类型的脚本供应商:

  • 验证器

    对于 OpenID Connect 脚本验证器。您可以在同一 JAR 文件中有一个或者多个验证器

  • policies

    对于使用红帽构建的 Keycloak 授权服务时的 JavaScript 策略。您可以在同一个 JAR 文件中具有一个或多个策略

  • Mappers

    对于 OpenID Connect 脚本协议映射程序。您可以在同一 JAR 文件中有一个或多个映射程序

  • saml-mappers

    对于 SAML 脚本协议映射程序。您可以在同一 JAR 文件中有一个或多个映射程序

对于 JAR 文件中的每个脚本文件,您需要在 META-INF/keycloak-scripts.json 中对应条目,用于将脚本文件映射到特定的供应商类型。为此,您应该为每个条目提供以下属性:

  • name

    用于通过红帽构建的 Keycloak 管理控制台显示脚本的友好名称。如果没有提供,将使用脚本文件的名称替代

  • description

    更好地描述脚本文件的可选文本

  • fileName

    脚本文件的名称。此属性 是必需的,应映射到 JAR 中的文件。

6.4.3. 部署脚本 JAR
复制链接

您有一个带有描述符和您要部署的脚本的 JAR 文件后,您只需要将 JAR 复制到 Keycloak 提供程序/目录的红帽构建中,然后运行 bin/ kc.[sh|bat] 构建

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat