Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

7.5. 简单只读,查找示例

为了说明实施用户存储 SPI 的基础知识,让我们来浏览一个简单示例。在本章中,您将看到实施简单的 UserStorageProvider,它将在简单属性文件中查找用户。属性文件包含用户名和密码定义,并硬编码到 classpath 上的特定位置。此提供程序将能够通过 ID 和用户名查找用户,并可验证密码。源自此提供程序的用户是只读的。

7.5.1. 供应商类
复制链接

首先要了解的是 UserStorageProvider 类。 

public class PropertyFileUserStorageProvider implements
        UserStorageProvider,
        UserLookupProvider,
        CredentialInputValidator,
        CredentialInputUpdater
{
...
}
Copy to Clipboard Toggle word wrap

我们的供应商类别 PropertyFileUserStorageProvider 实现了许多接口。它实施 UserStorageProvider,因为这是 SPI 的基础要求。它实施 UserLookupProvider 接口,因为我们希望能使用此提供程序存储的用户登录。它实施 CredentialInputValidator 接口,因为我们希望使用登录屏幕验证输入的密码。我们的属性文件是只读的。我们实施 CredentialInputUpdater,因为我们希望在用户尝试更新其密码时发布错误条件。 

    protected KeycloakSession session;
    protected Properties properties;
    protected ComponentModel model;
    // map of loaded users in this transaction
    protected Map<String, UserModel> loadedUsers = new HashMap<>();

    public PropertyFileUserStorageProvider(KeycloakSession session, ComponentModel model, Properties properties) {
        this.session = session;
        this.model = model;
        this.properties = properties;
    }
Copy to Clipboard Toggle word wrap

此提供程序类的构造器将存储对 KeycloakSession、CoonModel 和 属性文件的引用。稍后我们将使用所有这些产品。另请注意,有加载的用户映射。每当我们找到某个用户时,我们将将其存储在此地图中,这样我们都避免在同一交易中再次重新命名。这是为了遵守许多提供商,需要达到此目的(即,任何与 JPA 集成的供应商)的良好做法。请记住,每个事务一次创建提供程序类实例,并在事务完成后关闭。

7.5.1.1. UserLookupProvider 实现
复制链接

    @Override
    public UserModel getUserByUsername(String username, RealmModel realm) {
        UserModel adapter = loadedUsers.get(username);
        if (adapter == null) {
            String password = properties.getProperty(username);
            if (password != null) {
                adapter = createAdapter(realm, username);
                loadedUsers.put(username, adapter);
            }
        }
        return adapter;
    }

    protected UserModel createAdapter(RealmModel realm, String username) {
        return new AbstractUserAdapter(session, realm, model) {
            @Override
            public String getUsername() {
                return username;
            }
        };
    }

    @Override
    public UserModel getUserById(String id, RealmModel realm) {
        StorageId storageId = new StorageId(id);
        String username = storageId.getExternalId();
        return getUserByUsername(username, realm);
    }

    @Override
    public UserModel getUserByEmail(String email, RealmModel realm) {
        return null;
    }
Copy to Clipboard Toggle word wrap

当用户登录时,Red Hat Single Sign-On 登录页面会调用 getUserByUsername () 方法。在我们的实施中,我们首先检查 加载的Users 映射,以查看该用户是否已在此事务中载入。如果尚未加载,我们查看了用户名的属性文件。如果存在,我们创建了 UserModel 实施,将其存储在 loadUsers 中以供以后参考,然后返回此实例。

createAdapter () 方法使用 helper 类 org.keycloak.storage.adapter.AbstractUserAdapter。这为 UserModel 提供了一个基本实现。它使用用户的用户名作为外部 ID,根据所需的存储 ID 格式自动生成用户 id。 

"f:" + component id + ":" + username
Copy to Clipboard Toggle word wrap

每个 get method of AbstractUserAdapter 都会返回 null 或空集合。但是,返回角色和组映射的方法会返回为每个用户为域配置的默认角色和组。AbstractUserAdapter 的每个设置方法都会抛出一个 org.keycloak.storage.ReadOnlyException。因此,如果您试图修改 Admin 控制台中的用户,则会出现错误。

getUserById () 方法使用 org.keycloak.storage.StorageId helper 类解析 id 参数。调用 StorageId.getExternalId () 方法来获取嵌入在 id 参数中的用户名。然后,方法会将 委派为 getUserByUsername ()

不会存储电子邮件,因此 getUserByEmail () 方法返回 null。

7.5.1.2. CredentialInputValidator 实现
复制链接

接下来,让我们查看 CredentialInputValidator 的方法实施。 

    @Override
    public boolean isConfiguredFor(RealmModel realm, UserModel user, String credentialType) {
        String password = properties.getProperty(user.getUsername());
        return credentialType.equals(CredentialModel.PASSWORD) && password != null;
    }

    @Override
    public boolean supportsCredentialType(String credentialType) {
        return credentialType.equals(CredentialModel.PASSWORD);
    }

    @Override
    public boolean isValid(RealmModel realm, UserModel user, CredentialInput input) {
        if (!supportsCredentialType(input.getType())) return false;

        String password = properties.getProperty(user.getUsername());
        if (password == null) return false;
        return password.equals(input.getChallengeResponse());
    }
Copy to Clipboard Toggle word wrap

运行时调用 isConfiguredFor () 方法来确定是否为用户配置了特定的凭证类型。此方法检查为该用户设置了密码。

supportCredentialType () 方法返回是否支持特定凭证类型的验证。我们检查该凭证类型是否为 密码

isValid () 方法负责验证密码。CredentialInput 参数只是所有凭证类型的抽象接口。我们确保支持凭证类型,同时也是 UserCredentialModel 的实例。当用户通过登录页面登录时,密码输入的纯文本会被放入一个 UserCredentialModel 实例中。isValid () 方法根据属性文件中存储的纯文本密码检查这个值。返回值为 true 表示密码有效。

7.5.1.3. CredentialInputUpdater 实现
复制链接

如前所述,本例中我们实现 CredentialInputUpdater 接口的唯一原因是,对用户密码的修改是强制修改。我们必须这样做的原因是,由于该运行时可在 Red Hat Single Sign-On 本地存储中覆盖密码。本章稍后会对此进行讨论。 

    @Override
    public boolean updateCredential(RealmModel realm, UserModel user, CredentialInput input) {
        if (input.getType().equals(CredentialModel.PASSWORD)) throw new ReadOnlyException("user is read only for this update");

        return false;
    }

    @Override
    public void disableCredentialType(RealmModel realm, UserModel user, String credentialType) {

    }

    @Override
    public Set<String> getDisableableCredentialTypes(RealmModel realm, UserModel user) {
        return Collections.EMPTY_SET;
    }
Copy to Clipboard Toggle word wrap

updateCredential () 方法只检查凭证类型是否为密码。如果是,则引发 ReadOnlyException

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部