Keycloak - 只读用户属性

根据您所说的，似乎您有三个选择。其中一个是保留keycloak“编辑帐户”页面，并使用update profile listener来检查存储了哪些属性或由谁更新了哪些属性，类似于这样：

public class UpdateProfile implements RequiredActionProvider, RequiredActionFactory, DisplayTypeRequiredActionFactory {
    @Override
    public InitiatedActionSupport initiatedActionSupport() {
        return InitiatedActionSupport.SUPPORTED;
    }

    @Override
    public void evaluateTriggers(RequiredActionContext context) {
    }

    @Override
    public void requiredActionChallenge(RequiredActionContext context) {
        Response challenge = context.form()
                .createResponse(UserModel.RequiredAction.UPDATE_PROFILE);
        context.challenge(challenge);
    }

    // Check the custom attribute 1 not being modified by the user
    @Override
    public void processAction(RequiredActionContext context) {
        EventBuilder event = context.getEvent();
        event.event(EventType.UPDATE_PROFILE);
        MultivaluedMap<String, String> formData = context.getHttpRequest().getDecodedFormParameters();
        UserModel user = context.getUser();
        KeycloakSession session = context.getSession();
        RealmModel realm = context.getRealm();

        String newYourCustomAttribute1 = formData.getFirst("yourCustomAttribute1");
        String oldYourCustomAttribute1 = user.getFirstAttribute("yourCustomAttribute1") 

        if (!newYourCustomAttribute1.equals(oldYourCustomAttribute1)) {
            Response challenge = context.form()
                    .setError("User cannot change the attribute")
                    .setFormData(formData)
                    .createResponse(UserModel.RequiredAction.UPDATE_PROFILE);
            context.challenge(challenge);
            return;
        }
        context.success();

    }


    @Override
    public void close() {

    }

    @Override
    public RequiredActionProvider create(KeycloakSession session) {
        return this;
    }


    @Override
    public RequiredActionProvider createDisplay(KeycloakSession session, String displayType) {
        if (displayType == null) return this;
        if (!OAuth2Constants.DISPLAY_CONSOLE.equalsIgnoreCase(displayType)) return null;
        return ConsoleUpdateProfile.SINGLETON;
    }



    @Override
    public void init(Config.Scope config) {

    }

    @Override
    public void postInit(KeycloakSessionFactory factory) {

    }

    @Override
    public String getDisplayText() {
        return "Update Profile";
    }


    @Override
    public String getId() {
        return UserModel.RequiredAction.UPDATE_PROFILE.name();
    }
}

我不确定的是当你从客户端应用程序更新配置文件时，是否会调用此侦听器。如果它被调用，你需要检查已登录的客户端是哪一个。如果是公共客户端，则不要让其更新属性，如果是服务客户端，则允许其更新。
第二种方案是只允许服务客户端更新用户配置文件，并在你的应用程序中创建一个自定义视图，将表单提交到你的客户端，而不是直接提交到Keycloak。这样你可以在发送到Keycloak之前在服务中进行验证。
第三种方案是实现一个FormAction接口，这将允许你在服务器端验证传入的表单：
引用：“你必须实现的核心接口是FormAction接口。FormAction负责呈现和处理页面的一部分。渲染在buildPage()方法中完成，验证在validate()方法中完成，在success()中完成后验证操作。”

@Override
public void validate(ValidationContext context) {
    MultivaluedMap<String, String> formData = context.getHttpRequest().getDecodedFormParameters();
    UserModel user = context.getUser();
    KeycloakSession session = context.getSession();
    RealmModel realm = context.getRealm();

    String newYourCustomAttribute1 = formData.getFirst("yourCustomAttribute1");
    String oldYourCustomAttribute1 = user.getFirstAttribute("yourCustomAttribute1") 

    if (!newYourCustomAttribute1.equals(oldYourCustomAttribute1)) {
        Response challenge = context.form()
                .setError("User cannot change the attribute")
                .setFormData(formData)
                .createResponse(UserModel.RequiredAction.UPDATE_PROFILE);
        context.challenge(challenge);
        return;
    }
    context.success();
}

执行更新到版本12.0.4。 在低于12.0.4的版本中，如果用户更新其个人资料，则可能存在删除所有属性的问题。

此外，在12.0.4中，您可以创建用户和管理员只读属性。

请查看文档：https://www.keycloak.org/docs/latest/server_admin/#_read_only_user_attributes

祝好