刚好碰到过类似的场景！Keycloak 3.4搭配AD用户联合，再用Resource Owner Password Credentials流的时候，默认确实会把密码过期、账户锁定这类具体错误都统一返回「Invalid user credentials」，不过要拿到「user password expired」这种精准提示是可以做到的，给你两种可行方案：

Keycloak这么做其实是默认的安全策略——避免泄露过多用户状态信息，比如防止攻击者通过错误提示判断某个用户是否存在、账户是不是锁定了。所以它会把AD返回的各种认证错误（密码过期、密码错误、账户锁定等）统一映射成invalid_user_credentials这个通用错误。

1. 自定义Authenticator（推荐，升级友好） #

Keycloak支持扩展认证流程，你可以写一个自定义的Authenticator来捕获AD返回的具体错误码，然后返回对应的提示：

• 第一步：创建一个实现Authenticator接口的Java类，在authenticate方法里获取AD认证的结果细节
• 第二步：识别AD返回的错误码（比如AD的532对应密码过期，533是账户锁定，525是用户不存在）
• 第三步：如果检测到密码过期的错误码，直接抛出带有自定义信息的AuthenticationException，示例代码：

throw new AuthenticationException("user password expired");

• 第四步：把这个类打包成JAR包，放到Keycloak的standalone/deployments目录下部署
• 第五步：登录Keycloak控制台，找到对应的认证流程，把这个自定义Authenticator添加/替换到ROPC的认证步骤中

2. 修改Keycloak源码（不推荐，升级会失效） #

如果不想写自定义扩展，也可以直接修改Keycloak的源码：

• 找到处理AD联合认证的ActiveDirectoryAuthenticator类（在keycloak-services模块里）
• 找到原本统一抛出invalid_user_credentials的逻辑，改成根据AD错误码分支处理，示例代码：

if (status == 532) { // AD密码过期的错误码
    throw new AuthenticationException("user password expired");
} else {
    throw new AuthenticationException("Invalid user credentials");
}

• 重新编译Keycloak源码，替换对应的JAR包即可

• 自定义Authenticator要严格适配Keycloak 3.4的API，不同版本的接口可能有差异
• 开放精准错误提示会带来一定安全风险，比如攻击者可以通过错误信息枚举用户状态，所以要结合你的业务安全需求权衡
• 测试时一定要覆盖所有场景：密码正确、密码错误、密码过期、账户锁定，确保每个场景都返回对应的提示

内容的提问来源于stack exchange，提问作者wadi3