Регистрация имени пользователя в журнале доступа KeyCloak

В KeyCLoak 15.0 (то есть WildFly 23.0) я пытаюсь настроить журнал доступа, чтобы он также включал имя пользователя (или любой идентификатор пользователя), когда пользователь входит в систему. keycloak/автономный/конфигурация/автономный.xml, я настроил XML:/server/profile/subsystem[@xmlns="urn:jboss:domain:undertow:12.0"]/server/host/access-log/@pattern pattern="%h %l %u %t "%r" %s/%S %b %T %I "%{i,User-Agent}""

Журнал правильно печатается в файле, который я настроил. Однако значение %u или же %{REMOTE_USER} всегда пусто (т. -).

Единственный способ зарегистрировать какой-либо идентификатор пользователя, который я нашел, - это записать значение cookie сеанса с помощью %{c,KEYCLOAK_SESSION} (это содержит область/идентификатор пользователя/секрет). Что не рекомендуется делать в продакшене.

Любая идея о том, как зарегистрировать имя пользователя или идентификатор пользователя в журнале доступа?

Это ошибка KeyCLoak, которая %u или же %{REMOTE_USER} пуст, даже если в KeyCloak есть активный сеанс пользователя? Или возможно в KeyCLoak настроить, какое значение атрибута пользователя входит в REMOTE_USER?

Альтернативно, как поместить идентификатор пользователя в какой-либо заголовок, чтобы использовать одно из следующих?

• %{я,ххх} для входящих заголовков
• %{о,ххх} для заголовков исходящих ответов
• %{с,ххх} для определенного файла cookie
• %{г,ххх} где xxx — атрибут в ServletRequest
• %{с,ххх} где xxx — это атрибут в HttpSession.

Среди прочего, я пробовал эти. Ни один из них не был заселен.

%{s,пользователь} 
%{s,идентификатор пользователя} 
%{s,client_id} 
%{s,USER_ID} 
%{s,ПОЛЬЗОВАТЕЛЬ} 
%{s,org.keycloak.adapters.spi.KeycloakAccount} 
%{s,KeycloakAccount} 
%{s,org.keycloak.adapters.tomcat.CatalinaSessionTokenStore.SerializableKeycloakAccount} 
%{s,SerializableKeycloakAccount} 
%{s,org.keycloak.adapters.saml.SamlSession} 
%{s,Самлсессион} 
%{s,org.keycloak.adapters.undertow.KeycloakUndertowAccount} 
%{s,KeycloakUndertowAccount} 
%{s,org.keycloak.KeycloakSecurityContext} 
%{s,KeycloakSecurityContext} 
%{s,io.undertow.servlet.util.SavedRequest} 
%{s,Сохраненный запрос}

%{r,информация о маркере} 
%{r,KeycloakSecurityContext} 
%{r,ElytronHttpFacade} 
%{r,контекст развертывания адаптера} 
%{r,TOKEN_STORE_NOTE}

Я столкнулся с похожей проблемой (мой клиент попросил меня зарегистрировать идентификатор клиента) и в итоге искал решение. Глядя на исходный код и то, как заполняется журнал доступа, я могу сказать вам, что существует довольно большой разрыв между тем, где формируется журнал, и тем, где выполняется фактическая работа.

Если вы посмотрите на Keycloak, он основан на Wildfly, который использует Undertow для размещения функций http-сервера. Хотя запись в журнале доступа создается после того, как запрос был обслужен, есть несколько пробелов и абстракций, которые усложняют ситуацию.

С точки зрения программного обеспечения есть обработчик нижнего уровня, затем сервлет, затем сервлет отдыха, затем приложение keycloak и определенные ресурсы. Когда вы используете пользовательскую или административную консоль Keycloak, в большинстве случаев это «тонкий» клиент, который отображается веб-браузером. И этот браузер вызывает ресурс отдыха.

Если вы хотите получить информацию, связанную с пользователем, довольно часто, она не будет найдена в сеансе, потому что большая часть работы, выполняемой Kecloak, заключается в выпуске токенов от имени пользователей. Формально клиент, который отправляет запрос, действует от имени пользователя, что означает, что это не явная информация, доступная для каждого входящего запроса. Кроме того, большинство остальных ресурсов по определению не имеют состояния, что означает, что они каким-то образом работают с пользователем, но не сильно заполняют сеанс. Только одна часть, для которой вы можете рассчитывать на доступ к пользовательской информации, — это когда пользователь фактически входит в систему и делает что-то в консоли учетной записи пользователя. Кроме того, это может быть проиграно, поскольку ресурсы keycloak, выдающие токены, в большинстве случаев будут обрабатывать сеансы клиента или сеансы, связанные с клиентом.

К делу - я подхожу к тому, где я нашел место, которое выполняет синтаксический анализ формата журнала доступа. Он основан на Undertow ExchangeAttribute идея, которая позволяет принести свой собственный макрос для журнала. Этот макрос можно использовать для обхода структур памяти в поисках необходимой информации. Для меня это был client_id, который выполнял работу. Для этого я закончил с реализацией Атрибут формы. Мне все еще нужно найти способ подключить его, но с точки зрения модульного тестирования он уже "щелкнул", посмотрите, как выглядит базовый код:

пакет org.code_house.wildfly.stuff.undertow.attributes;
// не забудьте создать META-INF/services/io.undertow.attribute.ExchangeAttributeBuilder
// со строкой, содержащей имя класса, т.е.
// org.code_house.wildfly.stuff.undertow.attributes.FormAttribute$Builder

/**
 * Выставляйте параметры формы в атрибутах обмена, которые могут быть зарегистрированы в журнале доступа.
 * Используйте %{F,*} для вывода всех параметров или %{F,client_id} для рендеринга выбранного из поля.
 *
 * @author Åukasz Dywicki @ code-house.org
 **/
открытый класс FormAttribute реализует ExchangeAttribute {

  частная окончательная строка paramName;

  общедоступный FormAttribute (String paramName) {
    this.имя_параметра = имя_параметра;
  }

  @Override
  public String readAttribute (обмен HttpServerExchange) {
    FormData formData = exchange.getAttachment(FormDataParser.FORM_DATA);
    если ("*".equals(paramName)) {
      вернуть "" + данные формы;
    }
    вернуть formData == null ? "" : "" + formData.get(имя_параметра);
  }

  @Override
  public void writeAttribute (обмен HttpServerExchange, String newValue) выдает ReadOnlyAttributeException {
    бросить новое исключение ReadOnlyAttributeException("Form", newValue);
  }

  общедоступный статический окончательный класс Builder реализует ExchangeAttributeBuilder {
    @Override
    общедоступное имя строки () {
      вернуть «форму»;
    }

    @Override
    общедоступная сборка ExchangeAttribute (финальный токен String) {
      если (token.startsWith("%{F,") && token.endsWith("}")) {
        final String paramName = token.substring(4, token.length() - 1);
        вернуть новый FormAttribute (paramName);
      }
      вернуть ноль;
    }

    @Override
    общественный приоритет() {
      вернуть 0;
    }
  }
}

Суть в том, что, используя атрибут формы для регистрации значения, введенного в поле «имя пользователя» формы входа, чтобы получить «кто», вы можете объединить это с файлом cookie сеанса, который будет сохранен браузером. Принципиальным слиянием двух вышеуказанных тузов можно добиться необходимого результата. Используя приведенный выше план, вы можете реализовать свою собственную вещь и отслеживать токены и другие вещи, которые позволят вам создать свое приложение.

Я могу обновить ответ, когда найду связующую логику для правильной вставки дополнительного атрибута в формат журнала в отлив. РЕДАКТИРОВАТЬ: До сих пор я нашел только один способ ввести дополнительные атрибуты, скопировав их в $JBOSS_HOME/modules/system/layers/base/org/wildfly/extension/undertow/main/ и обновление модуль.xml в этом каталоге:

<module name="org.wildfly.extension.undertow" xmlns="urn:jboss:module:1.5">
...
    <resources>
        <resource-root path="wildfly-undertow-20.0.1.Final.jar"/>
        <!-- put here name of jar you made -->
        <resource-root path="undertow-client-request-filter-1.0.0-SNAPSHOT.jar"/>
    </resources>
...
</module>