用户临时锁定的 Keycloak 自定义消息

【问题标题】:Keycloak Custom message on user temporary lock用户临时锁定的 Keycloak 自定义消息
【发布时间】:2019-11-28 11:27:07
【问题描述】:

我正在使用 Kyecloak:4.8.0,并为我的领域启用了蛮力攻击。 现在,只要用户提供了 3 次错误的凭据,用户就会被暂时锁定。

但用户仍然会看到“无效的用户名/密码”。

根据这个线程 Keycloak 故意这样做: https://issues.jboss.org/browse/KEYCLOAK-5284

但我仍然想告诉用户他的帐户已被锁定。

有没有办法自定义这条消息?

我尝试通过在自定义 keycloak 主题中添加消息来做到这一点,如下所示:

位置:主题\adminlte\login\messages\messages_en.properties

accountTemporarilyDisabledMessage=Account is temporarily disabled, contact admin or try again later.

此更改无效。

【问题讨论】:

  • 如果您这样做,智能暴力检测可以通过暂时锁定它们来查找系统中所有可用的电子邮件地址。这就是故意不添加锁定消息的原因
  • 是的@Marcel 我明白了。谢谢你:)

标签: keycloak keycloak-services keycloak-gatekeeper


【解决方案1】:

经过 Keycloak 基本代码后,我发现:Keycloak 使用 AbstractFormAuthenticator 类中编写的属性中的 Messages.INVALID_USER (invalidUserMessage)。

这个类现在由 UsernamePasswordForm 扩展,以将其更改为自定义消息,我编写了自定义身份验证器(Keycloak SPI),如下所示

public class CustomUsernameFormAuthenticator extends UsernamePasswordForm {

    @Override
    protected String tempDisabledError() {
        return Messages.ACCOUNT_TEMPORARILY_DISABLED;
    }
}

之后在 keycloak 中部署 spi Jar 并在您的领域中启用它。 我们完成了:)

【讨论】:

    猜你喜欢
    • 2018-12-22
    • 1970-01-01
    • 2020-12-04
    • 2019-04-09
    • 2018-08-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-01-06
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode