Вопросы Теги

Регистрация имени пользователя в журнале доступа KeyCloak -

В KeyCLoak 15.0 (, то есть WildFly 23.0), я пытаюсь настроить журнал доступа-так, чтобы он также включал имя пользователя (или любой идентификатор пользователя), когда пользователь входит в систему. в. В keycloak/standalone/configuration/standalone.xmlя настроилXML:/server/profile/subsystem[@xmlns="urn:jboss:domain:undertow:12.0"]/server/host/access-log/@pattern pattern="%h %l %u %t "%r" %s/%S %b %T %I "%{i,User-Agent}""

Журнал правильно распечатывается в файле, который я настроил. Однако значение %uили %{REMOTE_USER}всегда пусто (, то есть-).

Единственным способом зарегистрировать идентификатор пользователя, который я нашел, было зарегистрировать значение файла cookie сеанса с %{c,KEYCLOAK_SESSION}(, которое содержитrealm/user-ID/secret). Что не рекомендуется делать в производстве.

Любая идея о том, как зарегистрировать имя пользователя или идентификатор пользователя в журнале доступа-?

Является ли ошибка KeyCloak в том, что %uили %{REMOTE_USER}пусты, даже когда в KeyCloak есть активный сеанс пользователя? Или в KeyCLoak можно настроить, какое значение атрибута пользователя входит в REMOTE_USER?

В качестве альтернативы , как поместить идентификатор пользователя в какой-либо заголовок, чтобы использовать одно из следующих?

  • %{i,xxx}для входящих заголовков
  • %{o,xxx}для заголовков исходящих ответов
  • %{c,xxx}для определенного файла cookie
  • %{r,xxx}где xxx — это атрибут в ServletRequest
  • %{s,xxx}, где xxx — это атрибут в HttpSession

Среди прочего, я пробовал эти. Ни один из них не был заселен.

%{s,user} 
%{s,userId} 
%{s,client_id} 
%{s,USER_ID} 
%{s,USER} 
%{s,org.keycloak.adapters.spi.KeycloakAccount} 
%{s,KeycloakAccount} 
%{s,org.keycloak.adapters.tomcat.CatalinaSessionTokenStore.SerializableKeycloakAccount} 
%{s,SerializableKeycloakAccount} 
%{s,org.keycloak.adapters.saml.SamlSession} 
%{s,SamlSession} 
%{s,org.keycloak.adapters.undertow.KeycloakUndertowAccount} 
%{s,KeycloakUndertowAccount} 
%{s,org.keycloak.KeycloakSecurityContext} 
%{s,KeycloakSecurityContext} 
%{s,io.undertow.servlet.util.SavedRequest} 
%{s,SavedRequest}

%{r,tokenInfo} 
%{r,KeycloakSecurityContext} 
%{r,ElytronHttpFacade} 
%{r,AdapterDeploymentContext} 
%{r,TOKEN_STORE_NOTE}
0
задан 30 July 2021 в 11:23
1 ответ

Я столкнулся с похожей проблемой (мой клиент попросил меня зарегистрировать идентификатор клиента)и в итоге искал решение. Глядя на исходный код и то, как заполняется журнал доступа, я могу сказать вам, что существует довольно большой разрыв между тем, где формируется журнал, и тем, где выполняется фактическая работа.

Если вы посмотрите на Keycloak, он основан на Wildfly, который использует Undertow для размещения функциональных возможностей http-сервера. Хотя запись в журнале доступа создается после того, как запрос был обслужен, есть несколько пробелов и абстракций, которые усложняют ситуацию.

С точки зрения программного обеспечения, есть обработчик нижнего уровня, затем сервлет, затем сервлет восстановления, затем приложение keycloak и определенные ресурсы. Когда вы используете пользовательскую или административную консоль Keycloak, в большинстве случаев это «тонкий» клиент, который отображается веб-браузером. И этот браузер вызывает ресурс отдыха.

Если вы хотите получить информацию, связанную с пользователем, довольно часто, она не будет найдена в сеансе, потому что большая часть работы, выполняемой Kecloak, заключается в выпуске токенов от имени пользователей. Формально клиент, который отправляет запрос, действует от имени пользователя, что означает, что это не явная информация, доступная для каждого входящего запроса. Кроме того, большинство остальных ресурсов по определению не имеют состояния, что означает, что они каким-то образом работают с пользователем, но не сильно заполняют сеанс. Только одна часть, для которой вы можете рассчитывать на доступ к пользовательской информации, — это когда пользователь фактически входит в систему и делает что-то в консоли учетной записи пользователя. Кроме того, это может быть проиграно, поскольку ресурсы keycloak, выдающие токены, в большинстве случаев будут обрабатывать сеансы клиента или сеансы, связанные с клиентом.

В точку -Я подхожу к точке, где я нашел место, которое выполняет синтаксический анализ формата журнала доступа. Он основан на идее Undertow ExchangeAttribute, которая позволяет приносить свой собственный макрос для журнала. Этот макрос можно использовать для обхода структур памяти в поисках необходимой информации. Для меня это был client_id, который выполнял работу. Для этого я закончил реализацию FormAttribute.Мне все еще нужно найти способ подключить его, но с точки зрения модульного тестирования он уже «щелкнул», посмотрите, как выглядит базовый код:

package org.code_house.wildfly.stuff.undertow.attributes;
// remember to create META-INF/services/io.undertow.attribute.ExchangeAttributeBuilder
// with line containing class name, ie.
// org.code_house.wildfly.stuff.undertow.attributes.FormAttribute$Builder

/**
 * Expose form parameters within exchange attributes which can be logged in access log.
 * Use %{F,*} to dump all params or %{F,client_id} to render selected from field.
 *
 * @author Łukasz Dywicki @ code-house.org
 **/
public class FormAttribute implements ExchangeAttribute {

  private final String paramName;

  public FormAttribute(String paramName) {
    this.paramName = paramName;
  }

  @Override
  public String readAttribute(HttpServerExchange exchange) {
    FormData formData = exchange.getAttachment(FormDataParser.FORM_DATA);
    if ("*".equals(paramName)) {
      return "" + formData;
    }
    return formData == null ? "" : "" + formData.get(paramName);
  }

  @Override
  public void writeAttribute(HttpServerExchange exchange, String newValue) throws ReadOnlyAttributeException {
    throw new ReadOnlyAttributeException("Form", newValue);
  }

  public static final class Builder implements ExchangeAttributeBuilder {
    @Override
    public String name() {
      return "form";
    }

    @Override
    public ExchangeAttribute build(final String token) {
      if (token.startsWith("%{F,") && token.endsWith("}")) {
        final String paramName = token.substring(4, token.length() - 1);
        return new FormAttribute(paramName);
      }
      return null;
    }

    @Override
    public int priority() {
      return 0;
    }
  }
}

Основной момент -с использованием атрибута формы для регистрации значения, введенного в поле «имя пользователя» форма входа, чтобы получить «кто», затем вы можете объединить это с файлом cookie сеанса, который будет сохранен браузером. Принципиальным слиянием двух вышеуказанных тузов можно добиться необходимого результата. Используя приведенный выше план, вы можете реализовать свою собственную вещь и отслеживать токены и другие вещи, которые позволят вам создать свое приложение.

Я могу обновить ответ, когда найду связующую логику для правильной вставки дополнительного атрибута в формат журнала в отлив. РЕДАКТИРОВАТЬ :Только один способ, который я нашел до сих пор, чтобы ввести дополнительные атрибуты, - это скопировать их в $JBOSS_HOME/modules/system/layers/base/org/wildfly/extension/undertow/main/и обновить module.xmlв этом каталоге:

<module name="org.wildfly.extension.undertow" xmlns="urn:jboss:module:1.5">
...
    <resources>
        <resource-root path="wildfly-undertow-20.0.1.Final.jar"/>
        <!-- put here name of jar you made -->
        <resource-root path="undertow-client-request-filter-1.0.0-SNAPSHOT.jar"/>
    </resources>
...
</module>
2
ответ дан 5 November 2021 в 15:53

Теги

Похожие вопросы