keycloak~RequiredActionProvider的使用

使用场景

RequiredActionProvider，它是在认证过程中，需要当前登录的用户执行个性化的动作；当用户符合条件，就被执行RequiredActionProvider对作，当RequiredActionProvider没有正常提交(context.success())之前，当前用户仍然是未登录状态，这在keycloak框架中，也有一些默认的个性化动作，它与整个登录流程是解耦的，事实上，keycloak的设计理念也是微架构设计，插件化设计。

keycloak默认提供的RequiredActionProvider

• VERIFY_EMAIL 验证邮箱
• UPDATE_PROFILE 更新用户信息
• CONFIGURE_TOTP 配置totp多因子认证
• UPDATE_PASSWORD 强制更新密码，用在临时建立的密码场景（CredentialRepresentation中的isTemporary为true时执行）
• TERMS_AND_CONDITIONS 用户在首次登录时会被要求查看并接受特定的服务条款和条件
• VERIFY_PROFILE 验证个人信息

keycloak后台配置RequiredActionProvider

在侧-验证菜单，选择Required Action标签，可以管理它们，开启或者设置成默认，同时也可以添加自定义的RequiredActionProvider

1 配置列表



2 添加新的Required Action

自定义的RequiredActionProvider

下面我们添加一个自定义的RequiredActionProvider，业务场景是，当登录用户名前缀是test时，就让这个用户去验证手机号

1 添加一个UpdatePhoneNumberRequiredAction文件，让它实现RequiredActionProvider接口

public class UpdatePhoneNumberRequiredAction implements RequiredActionProvider {

    public static final String PROVIDER_ID = "UPDATE_PHONE_NUMBER";

    @Override
    public void evaluateTriggers(RequiredActionContext context) {
    }

    @Override
    public void requiredActionChallenge(RequiredActionContext context) {
        Response challenge = context.form()
                .createForm("login-update-phone-number.ftl");
        context.challenge(challenge);
    }

    @Override
    public void processAction(RequiredActionContext context) {
        TokenCodeServiceProvider tokenCodeServiceProvider = context.getSession().getProvider(TokenCodeServiceProvider.class);
        String phoneNumber = context.getHttpRequest().getDecodedFormParameters().getFirst("phoneNumber");
        String code = context.getHttpRequest().getDecodedFormParameters().getFirst("code");
        try {
            tokenCodeServiceProvider.validateCode(context.getUser(), phoneNumber, code);
            context.success();
        } catch (BadRequestException e) {

            Response challenge = context.form()
                    .setError("noOngoingVerificationProcess")
                    .createForm("login-update-phone-number.ftl");
            context.challenge(challenge);

        } catch (ForbiddenException e) {

            Response challenge = context.form()
                    .setAttribute("phoneNumber", phoneNumber)
                    .setError("verificationCodeDoesNotMatch")
                    .createForm("login-update-phone-number.ftl");
            context.challenge(challenge);
        }
    }

    @Override
    public void close() {
    }
}

2 添加UpdatePhoneNumberRequiredActionFactory文件，让它去构建上面的UpdatePhoneNumberRequiredAction实例

public class UpdatePhoneNumberRequiredActionFactory implements RequiredActionFactory {

    private static final UpdatePhoneNumberRequiredAction instance = new UpdatePhoneNumberRequiredAction();

    @Override
    public String getDisplayText() {
        return "";
    }

    @Override
    public RequiredActionProvider create(KeycloakSession session) {
        return instance;
    }

    @Override
    public void init(Scope scope) {
    }

    @Override
    public void postInit(KeycloakSessionFactory sessionFactory) {
    }

    @Override
    public void close() {
    }

    @Override
    public String getId() {
        return UpdatePhoneNumberRequiredAction.PROVIDER_ID;
    }
}

3 在resources/META-INF/services/文件夹下，添加org.keycloak.authentication.RequiredActionFactory文件，通过SPI的方式，注册咱们的UpdatePhoneNumberRequiredActionFactory工厂

org.keycloak.phone.authentication.requiredactions.UpdatePhoneNumberRequiredActionFactory

4 添加咱们这个UpdatePhoneNumberRequiredActionFactory，它在keycloak后台RequiredActionProvider中，显示的名称是“Update Phone Number”，我们去添加并开启它

5 在brower的认证流程中，你需要在context.success()之前去判断用户名的前缀,并为它指定RequiredAction

  if(context.getUser().getUsername().startsWith("test")){
    context.getUser().addRequiredAction(UpdatePhoneNumberRequiredAction.PROVIDER_ID);
  }
  context.success();

好了，到目前来说，咱们用户名登录时，前缀为test的用户，都会走这个手机验证的界面了，在验证成功前，用户是不能直接登录的。