IAM选型踩坑记从CAS、Shiro到Keycloak的技术决策之路项目背景与需求分析去年接手公司统一身份认证平台重构项目时我面临的是一个典型的中型企业技术债场景12个业务系统使用着8套不同的账号体系运维每周要处理30次密码重置请求新员工入职需要配置6个不同系统的访问权限。更糟糕的是市场部每次做促销活动都需要在5个系统中重复创建相同的客户账号。我们的核心需求非常明确统一认证实现跨系统的单点登录SSO用户只需登录一次即可访问所有授权系统集中授权建立基于角色的权限管理体系RBAC支持细粒度的资源访问控制简化运维提供可视化的用户生命周期管理减少人工操作成本开放集成支持OAuth2/OpenID Connect等现代协议方便与第三方系统对接技术选型初探第一站Apereo CAS的配置噩梦作为Java领域最知名的开源SSO解决方案Apereo CAS自然成为我的首选。但实际体验却让我大跌眼镜# 典型CAS部署需要配置的文件 ├── cas.properties # 主配置文件500配置项 ├── services/*.json # 服务注册配置每个应用一个文件 ├── pom.xml # 7500行的Maven配置 └── log4j2.xml # 复杂的日志配置最让我崩溃的是其文档结构官方文档有20多个模块但关键配置项往往一笔带过GitHub上1800个issue很多核心问题三年未解决社区推荐的最佳实践需要引入Spring Cloud、Hazelcast等额外组件实际踩坑记录尝试集成LDAP时花了3天调试LdapAuthenticationHandler的12个参数自定义登录页面需要重写5个Thymeleaf模板文件添加短信验证码支持需要实现3个接口并修改4处配置提示CAS的协议扩展性确实强大但代价是极高的学习成本和维护复杂度第二站Shiro在分布式场景的局限作为轻量级安全框架Apache Shiro在我们的单体应用中表现优异。但在微服务架构下暴露出明显短板功能需求Shiro实现方案主要问题会话共享集成Redis需要自定义序列化逻辑权限中心化自建权限服务RPC调用网络延迟影响性能OAuth2支持整合pac4j会话状态管理复杂多因素认证自定义Realm与现有流程耦合度高特别是在处理JWT令牌时我们需要额外开发令牌刷新机制黑名单管理跨服务权限验证这些轮子不仅增加了开发成本还引入了新的维护负担。Keycloak的破局之道当我在技术社区第5次看到Keycloak的推荐时决定认真评估这个来自Red Hat的开源解决方案。没想到这次尝试彻底改变了我们的技术路线。开箱即用的核心功能Keycloak的Docker体验让我眼前一亮docker run -p 8080:8080 -e KEYCLOAK_ADMINadmin -e KEYCLOAK_ADMIN_PASSWORDadmin quay.io/keycloak/keycloak:21.1.1 start-dev30分钟后我们已经完成了创建测试域realm配置LDAP用户联邦设置OIDC客户端启用Google Authenticator双因素认证设计理念的降维打击与CAS的大而全不同Keycloak展现了精妙的分层设计架构亮点存储抽象层通过SPI支持多种数据源我们轻松实现了MySQL用户存储协议适配层统一的核心模型支持OIDC/SAML/CAS等协议转换扩展点机制自定义Authenticator只需实现单一接口// 自定义短信验证码认证器示例 public class SmsAuthenticator implements Authenticator { public void authenticate(AuthenticationFlowContext context) { String phone context.getUser().getFirstAttribute(phone); String code generateRandomCode(); sendSms(phone, code); context.form().setAttribute(code, code); } }微服务场景的特别优势在Kubernetes环境中Keycloak展现出惊人适应性轻量级令牌JWT包含所有必要声明减少权限服务调用服务账户管理每个微服务可以有自己的客户端凭证细粒度权限通过Resource Server配置接口级访问控制# 典型资源服务器配置 resources: - name: OrderService uris: - /orders/* scopes: - read - write policies: - role:customer: allow read - role:admin: allow *实战对比与决策依据功能矩阵对比评估维度Apereo CASApache ShiroKeycloak协议支持全面但配置复杂需额外扩展开箱即用管理界面基础功能无企业级完整功能用户联邦插件式支持需自定义实现原生支持多种方案性能扩展依赖额外组件单机性能优秀集群方案成熟二次开发代码耦合度高修改灵活扩展点清晰文档质量碎片化基础完善系统全面实际性能数据我们在压测环境获得如下指标100并发用户认证吞吐量CAS320 req/s带数据库验证Keycloak850 req/s带LDAP验证令牌验证延迟ShiroJWT平均12msKeycloak令牌自验证平均3ms管理操作效率批量导入1000用户CAS通过API需4分12秒Keycloak控制台导入仅38秒决策转折点三个关键发现最终促使我们选择Keycloak协议转换能力旧系统用CAS协议新系统用OIDCKeycloak可同时支持权限模型灵活性既支持传统RBAC也能实现ABAC规则Red Hat支持作为上游项目获得OpenShift深度集成迁移实施路线分阶段推进策略并行运行期2个月新旧系统共存逐步迁移用户数据开发适配层处理协议差异流量切换期1个月按业务线分批切换实时监控认证成功率建立快速回滚机制优化巩固期持续基于使用数据调整策略开发自定义主题和组件完善监控告警体系关键成功因素数据迁移工具链# 用户数据转换脚本示例 def convert_user(cas_user): return { username: cas_user.login, email: cas_user.email, attributes: { department: cas_user.deptCode, legacyId: cas_user.id } }渐进式协议适配阶段1CAS代理模式阶段2混合认证模式阶段3纯OIDC模式监控指标设计认证成功率按客户端细分令牌颁发延迟P99值管理员操作耗时经验总结与避坑指南技术选型建议评估清单[ ] 协议支持是否符合未来技术路线[ ] 管理功能是否覆盖80%日常需求[ ] 性能指标是否满足业务增长预期[ ] 扩展机制能否应对特殊场景概念验证(POC)要点测试LDAP/AD集成实际体验验证高可用方案的可靠性评估管理界面操作效率常见陷阱警示配置过度CAS的serviceRegistry配置容易失控Keycloak的clientScope需要合理规划权限设计避免过度细分的角色定义谨慎使用composite角色会话管理分布式会话的序列化问题令牌刷新策略的平衡性能优化技巧缓存策略-- Keycloak建议的数据库索引 CREATE INDEX idx_user_attr_name ON user_attribute(name); CREATE INDEX idx_user_entity_realm ON user_entity(realm_id);JVM调优# 生产环境推荐参数 JAVA_OPTS-Xms2g -Xmx2g -XX:MaxMetaspaceSize512m -Djboss.as.management.blocking.timeout3600集群配置# Infinispan集群配置示例 cache-containerkeycloak distributed-cacheauthSessions owners2 modeSYNC未来演进规划随着业务发展我们计划在以下方向深化Keycloak应用智能化策略基于用户行为的风险认证地理位置感知的访问控制生态扩展与CI/CD管道集成服务网格身份联邦用户体验优化无密码认证流程生物识别支持这次技术选型经历让我深刻认识到优秀的中间件应该像精密的机械表 - 内部结构可以复杂但对外呈现必须简洁优雅。Keycloak正是这样在复杂性与可用性间找到平衡的典范。
IAM选型踩坑记:为什么我最终放弃了CAS和Shiro,选择了Keycloak?
发布时间:2026/6/4 13:11:27
IAM选型踩坑记从CAS、Shiro到Keycloak的技术决策之路项目背景与需求分析去年接手公司统一身份认证平台重构项目时我面临的是一个典型的中型企业技术债场景12个业务系统使用着8套不同的账号体系运维每周要处理30次密码重置请求新员工入职需要配置6个不同系统的访问权限。更糟糕的是市场部每次做促销活动都需要在5个系统中重复创建相同的客户账号。我们的核心需求非常明确统一认证实现跨系统的单点登录SSO用户只需登录一次即可访问所有授权系统集中授权建立基于角色的权限管理体系RBAC支持细粒度的资源访问控制简化运维提供可视化的用户生命周期管理减少人工操作成本开放集成支持OAuth2/OpenID Connect等现代协议方便与第三方系统对接技术选型初探第一站Apereo CAS的配置噩梦作为Java领域最知名的开源SSO解决方案Apereo CAS自然成为我的首选。但实际体验却让我大跌眼镜# 典型CAS部署需要配置的文件 ├── cas.properties # 主配置文件500配置项 ├── services/*.json # 服务注册配置每个应用一个文件 ├── pom.xml # 7500行的Maven配置 └── log4j2.xml # 复杂的日志配置最让我崩溃的是其文档结构官方文档有20多个模块但关键配置项往往一笔带过GitHub上1800个issue很多核心问题三年未解决社区推荐的最佳实践需要引入Spring Cloud、Hazelcast等额外组件实际踩坑记录尝试集成LDAP时花了3天调试LdapAuthenticationHandler的12个参数自定义登录页面需要重写5个Thymeleaf模板文件添加短信验证码支持需要实现3个接口并修改4处配置提示CAS的协议扩展性确实强大但代价是极高的学习成本和维护复杂度第二站Shiro在分布式场景的局限作为轻量级安全框架Apache Shiro在我们的单体应用中表现优异。但在微服务架构下暴露出明显短板功能需求Shiro实现方案主要问题会话共享集成Redis需要自定义序列化逻辑权限中心化自建权限服务RPC调用网络延迟影响性能OAuth2支持整合pac4j会话状态管理复杂多因素认证自定义Realm与现有流程耦合度高特别是在处理JWT令牌时我们需要额外开发令牌刷新机制黑名单管理跨服务权限验证这些轮子不仅增加了开发成本还引入了新的维护负担。Keycloak的破局之道当我在技术社区第5次看到Keycloak的推荐时决定认真评估这个来自Red Hat的开源解决方案。没想到这次尝试彻底改变了我们的技术路线。开箱即用的核心功能Keycloak的Docker体验让我眼前一亮docker run -p 8080:8080 -e KEYCLOAK_ADMINadmin -e KEYCLOAK_ADMIN_PASSWORDadmin quay.io/keycloak/keycloak:21.1.1 start-dev30分钟后我们已经完成了创建测试域realm配置LDAP用户联邦设置OIDC客户端启用Google Authenticator双因素认证设计理念的降维打击与CAS的大而全不同Keycloak展现了精妙的分层设计架构亮点存储抽象层通过SPI支持多种数据源我们轻松实现了MySQL用户存储协议适配层统一的核心模型支持OIDC/SAML/CAS等协议转换扩展点机制自定义Authenticator只需实现单一接口// 自定义短信验证码认证器示例 public class SmsAuthenticator implements Authenticator { public void authenticate(AuthenticationFlowContext context) { String phone context.getUser().getFirstAttribute(phone); String code generateRandomCode(); sendSms(phone, code); context.form().setAttribute(code, code); } }微服务场景的特别优势在Kubernetes环境中Keycloak展现出惊人适应性轻量级令牌JWT包含所有必要声明减少权限服务调用服务账户管理每个微服务可以有自己的客户端凭证细粒度权限通过Resource Server配置接口级访问控制# 典型资源服务器配置 resources: - name: OrderService uris: - /orders/* scopes: - read - write policies: - role:customer: allow read - role:admin: allow *实战对比与决策依据功能矩阵对比评估维度Apereo CASApache ShiroKeycloak协议支持全面但配置复杂需额外扩展开箱即用管理界面基础功能无企业级完整功能用户联邦插件式支持需自定义实现原生支持多种方案性能扩展依赖额外组件单机性能优秀集群方案成熟二次开发代码耦合度高修改灵活扩展点清晰文档质量碎片化基础完善系统全面实际性能数据我们在压测环境获得如下指标100并发用户认证吞吐量CAS320 req/s带数据库验证Keycloak850 req/s带LDAP验证令牌验证延迟ShiroJWT平均12msKeycloak令牌自验证平均3ms管理操作效率批量导入1000用户CAS通过API需4分12秒Keycloak控制台导入仅38秒决策转折点三个关键发现最终促使我们选择Keycloak协议转换能力旧系统用CAS协议新系统用OIDCKeycloak可同时支持权限模型灵活性既支持传统RBAC也能实现ABAC规则Red Hat支持作为上游项目获得OpenShift深度集成迁移实施路线分阶段推进策略并行运行期2个月新旧系统共存逐步迁移用户数据开发适配层处理协议差异流量切换期1个月按业务线分批切换实时监控认证成功率建立快速回滚机制优化巩固期持续基于使用数据调整策略开发自定义主题和组件完善监控告警体系关键成功因素数据迁移工具链# 用户数据转换脚本示例 def convert_user(cas_user): return { username: cas_user.login, email: cas_user.email, attributes: { department: cas_user.deptCode, legacyId: cas_user.id } }渐进式协议适配阶段1CAS代理模式阶段2混合认证模式阶段3纯OIDC模式监控指标设计认证成功率按客户端细分令牌颁发延迟P99值管理员操作耗时经验总结与避坑指南技术选型建议评估清单[ ] 协议支持是否符合未来技术路线[ ] 管理功能是否覆盖80%日常需求[ ] 性能指标是否满足业务增长预期[ ] 扩展机制能否应对特殊场景概念验证(POC)要点测试LDAP/AD集成实际体验验证高可用方案的可靠性评估管理界面操作效率常见陷阱警示配置过度CAS的serviceRegistry配置容易失控Keycloak的clientScope需要合理规划权限设计避免过度细分的角色定义谨慎使用composite角色会话管理分布式会话的序列化问题令牌刷新策略的平衡性能优化技巧缓存策略-- Keycloak建议的数据库索引 CREATE INDEX idx_user_attr_name ON user_attribute(name); CREATE INDEX idx_user_entity_realm ON user_entity(realm_id);JVM调优# 生产环境推荐参数 JAVA_OPTS-Xms2g -Xmx2g -XX:MaxMetaspaceSize512m -Djboss.as.management.blocking.timeout3600集群配置# Infinispan集群配置示例 cache-containerkeycloak distributed-cacheauthSessions owners2 modeSYNC未来演进规划随着业务发展我们计划在以下方向深化Keycloak应用智能化策略基于用户行为的风险认证地理位置感知的访问控制生态扩展与CI/CD管道集成服务网格身份联邦用户体验优化无密码认证流程生物识别支持这次技术选型经历让我深刻认识到优秀的中间件应该像精密的机械表 - 内部结构可以复杂但对外呈现必须简洁优雅。Keycloak正是这样在复杂性与可用性间找到平衡的典范。
)
