Keycloak 23.0.0 发布

2023 年 11 月 23 日

要下载该版本，请访问 Keycloak 下载。

亮点

OpenID Connect / OAuth 2.0

FAPI 2 草案支持

Keycloak 具有新的客户端配置文件 fapi-2-security-profile 和 fapi-2-message-signing，它们确保 Keycloak 在与您的客户端通信时，强制执行与最新 FAPI 2 草案规范的合规性。感谢 Takashi Norimatsu 的贡献。

DPoP 预览支持

Keycloak 提供对 OAuth 2.0 应用程序层证明所有权 (DPoP) 的预览支持。感谢 Takashi Norimatsu 和 Dmitry Telegin 的贡献。

自检终结点更加灵活

在以前版本中，自检终结点会自动返回访问令牌中可用的大多数声明。现在，大多数协议映射器上都有一个新的开关 添加到令牌自检。此新增功能提供了更大的灵活性，因为自检终结点可以返回与访问令牌不同的声明。这是“轻量级访问令牌”支持的第一步，因为访问令牌可以省略许多声明，这些声明仍将由自检终结点返回。从以前版本迁移时，自检终结点应返回与访问令牌返回相同的声明，因此在迁移后，默认情况下，行为应有效地保持相同。感谢 Shigeyuki Kabano 的贡献。

用于 OAuth 2.0 设备授权授予流程的功能标志

OAuth 2.0 设备授权授予流程现在包含一个功能标志，因此您可以轻松地禁用此功能。此功能默认情况下仍然启用。感谢 Thomas Darimont 的贡献。

身份验证

支持 Passkeys

Keycloak 提供对 Passkeys 的预览支持。

Passkey 注册和身份验证是通过 WebAuthn 的功能实现的。因此，Keycloak 用户可以通过现有的 WebAuthn 注册和身份验证来进行 Passkey 注册和身份验证。

同步的 Passkeys 和设备绑定的 Passkeys 都可用于相同设备和跨设备身份验证。但是，Passkeys 操作的成功与否取决于用户的环境。确保在环境中哪些操作可以成功。感谢 Takashi Norimatsu 的贡献，并感谢 Thomas Darimont 为此功能提供思路和测试帮助。

WebAuthn 增强功能

WebAuthn 策略现在包含一个新字段：Extra Origins。它提供了与非 Web 平台（例如，原生移动应用程序）的更好互操作性。感谢 Charley Wu 的贡献。

您已登录

曾经存在一个臭名昭著的问题，即当用户在多个浏览器选项卡中打开了登录页面并在其中一个选项卡中进行了身份验证时，尝试在后续浏览器选项卡中进行身份验证会打开页面 您已登录。这个问题现在得到了改进，因为在第一个浏览器选项卡进行身份验证后，其他浏览器选项卡也会自动进行身份验证。在某些情况下，行为可能并非 100% 正确，例如身份验证会话已过期，然后仅在一个浏览器选项卡中重新启动，因此其他浏览器选项卡不会自动进行登录。因此，我们仍然计划在这方面进行改进。

用于指定最大身份验证时间的密码策略

Keycloak 支持新的密码策略，允许指定密码在无需重新身份验证的情况下可以由用户更改的最大身份验证年龄。当此密码策略设置为 0 时，用户将需要重新身份验证才能在帐户控制台中或通过其他方式更改密码。您也可以指定低于或高于 5 分钟的默认值。感谢 Thomas Darimont 的贡献。

部署

对多站点主动-被动部署的预览支持

将 Keycloak 部署到多个独立站点对于某些环境至关重要，以便提供高可用性并快速从故障中恢复。此版本为 Keycloak 添加了主动-被动部署的预览支持。

已经投入了大量工作来测试和验证一个能够承受负载并从故障场景中恢复的设置。要开始使用，请使用高可用性指南，该指南还包括一个全面的蓝图，用于将高可用性 Keycloak 部署到云环境中。

适配器

OpenID Connect WildFly 和 JBoss EAP

以前版本中已弃用的 WildFly 和 JBoss EAP 的 OpenID Connect 适配器已在此版本中删除。它将被 WildFly 中包含的 Elytron OIDC 适配器替换，该适配器可无缝迁移自 Keycloak 适配器。

SAML WildFly 和 JBoss EAP

WildFly 和 JBoss EAP 的 SAML 适配器不再作为 ZIP 下载分发，而是作为 Galleon 功能包分发，使其更容易更无缝地安装。

有关详细信息，请参阅保护应用程序和服务指南。

服务器分发

支持负载削减

Keycloak 现在具有 http-max-queued-requests 选项，允许在高负载下适当地拒绝传入请求。有关详细信息，请参阅生产指南。

RESTEasy Reactive

Keycloak 已切换到 RESTEasy Reactive。即使不使用响应式样式/语义，使用 quarkus-resteasy-reactive 的应用程序仍应从更好的启动时间、运行时性能和内存占用中受益。直接依赖于 JAX-RS API 的 SPI 应与此更改兼容。依赖于 RESTEasy Classic（包括 ResteasyClientBuilder）的 SPI 将不兼容，需要更新，对于其他 JAX-RS API 实现（如 Jersey）也同样如此。

用户配置文件

声明式用户配置文件在此版本中仍然是预览功能，但我们正在努力将其提升为支持的功能。欢迎反馈。如果您发现任何问题或有任何改进建议，请随时创建 Github 问题，最好带有 area/user-profile 标签。还建议查看升级指南，其中包含此版本的迁移更改，其中包含有关迁移的一些其他信息。

组可扩展性

针对具有大量组和子组的用例，对组搜索的性能进行了改进。有一些改进，允许对子组进行分页查找。感谢 Alice 的贡献。

主题

主题的本地化文件默认使用 UTF-8 编码

主题的消息属性文件现在使用 UTF-8 编码读取，并自动回退到 ISO-8859-1 编码。

有关详细信息，请参阅迁移指南。

存储

删除 Map Store

Map Store 是以前版本中的实验性功能。从该版本开始，它被删除，用户应继续使用当前的 JPA 存储。有关详细信息，请参阅迁移指南。

升级

升级前，请参阅迁移指南，以获取完整的更改列表。

所有已解决的问题

新功能

#23155 [WebAuthn] 源验证不支持非 Web 平台 core

增强功能

#431 删除 Wildfly/EAP OIDC 和 SAML 适配器下载 web
#505 快速入门 - Wildfly 升级和自述文件清理 quickstarts
#510 SAML 快速入门 - 通过 Galleon 配置 SAML 适配器 quickstarts
#9318 用户配置文件配置 API 类型不正确 docs
#10128 改进失败测试行为 operator
#10620 电子邮件地址中的国际化域名 user-profile
#10713 更新服务器以使用 RESTEasy Reactive
#10803 在不使用外部 Infinispan 集群的情况下将会话持久化到 JDBC 存储中 storage
#11668 声明式用户配置文件：帐户管理控制台中出现奇怪的行为 user-profile
#12406 删除身份验证期间的“您已登录” authentication
#14009 REST 导入中的 CreatedTimestamp 未使用
#14165 无法刷新 RPT 令牌 authorization-services
#14400 向 Keycloak CR 添加代理选项 operator
#15018 增强代理和主机名配置
#15072 允许为属性设置帮助文本 user-profile
#15109 重构操作员使用的 patch-sources.sh operator
#17258 列“DETAILS_JSON”的数据过长 storage
#20343 消息捆绑包未包含在领域导出中 import-export
#20584 FAPI 2.0 安全配置文件 - 支持 RFC 9207 OAuth 2.0 授权服务器颁发者标识
#20695 添加对 Microsoft 身份验证提供者中单租户的支持
#20794 我们可以简化 TokenManager.getRefreshExpiration() 和 TokenManager.getOfflineExpiration() 吗？ oidc
#20884 [管理员控制台 v2] 权限屏幕上的策略创建缺少 admin/ui
#21073 身份验证提供者：管理员 REST API 中的分页
#21154 允许为自定义身份验证提供者使用现有映射器 identity-brokering
#21181 将 FAPI 2.0 安全配置文件添加为客户端策略的默认配置文件
#21182 增强令牌管理器的可插拔功能
#21183 自检终结点更加灵活 oidc
#21200 DPoP 支持第一阶段
#21444 在使用 OIDC IdP 的 private_key_jwt 时设置 client_id identity-brokering
#21945 FAPI 2 的发行说明
#22034 Keycloak，JavaScript 库不使用 escape() 函数 adapter/javascript
#22215 在用户信息终结点中验证 DPoP oidc
#22318 允许覆盖帐户控制台资源以实现完全控制和向后兼容性
#22372 扩展组提供程序以允许对子组进行分页查找存储
#22725 不要为部署初始化屏障构建项 dist/quarkus
#22868 关于 LDAP 提供程序中“验证密码策略”选项的工具提示的说明 admin/ui
#23194 在“条件 - 用户属性”执行中添加正则表达式支持身份验证
#23340 为 RESTEasy 反应式实现负载卸载
#23527 禁用用户配置文件并丢失先前配置时的更好可用性 user-profile
#23891 为 OAuth 2.0 设备授权授予流程添加功能标志 oidc
#24024 注册表单中的用户配置文件调整 user-profile
#24072 与身份代理相关的许多参数使用 `providerId`，而它们应该使用 `providerAlias` identity-brokering
#24273 为用户配置文件电子邮件验证器添加一个属性，用于本地部分的最大长度 user-profile
#24278 短暂用户：文档核心
#24387 将一些 UserProfile 和验证类移到 keycloak-server-spi 中 user-profile
#24494 短暂用户：同意核心
#24535 将 UPConfig 和相关类从 keycloak-services 中移动 user-profile
#24844 将高可用性指南添加到 Keycloak 的主存储库
#24912 将 Galleon 层元数据添加到 SAML Galleon 功能包中 adapter/jee-saml

错误

#468 无法构建它快速入门
#503 自动化 Keycloak 版本替换快速入门
#508 set-version 脚本没有更新 js 和 nodejs 快速入门中的 package(-lock).json 文件快速入门
#515 [Keycloak 快速入门 CI 失败] loginToAdminConsole 方法在 ArquillianSysoutEventListenerProviderTest.testEventListenerOutput 中失败，因为无法定位元素：{"method":"css selector","selector":"#username"} 异常快速入门
#8939 PAR 无法为公共客户端进行身份验证 oidc
#9004 使用 OpenID Connect v1.0 身份提供程序属性导入器映射器未导入访问令牌声明 oidc
#10710 Rollup.js 针对 keycloak.js 的一个依赖项中的 eval 使用提出投诉 adapter/javascript
#11699 在高负载下，DefaultBruteForceProtector 会阻塞整个系统身份验证
#12062 声明式用户配置文件导出 user-profile
#12171 从领域导出数据时授权行为不一致 authorization-services
#14134 [keycloak 18] 无法在部分导入中使用正确的 ID 导入用户 admin/api
#16379 对身份验证流程名称中括号的处理不一致 admin/api
#16526 令牌自省响应不遵循 RFC6479 “scope” 参数格式 oidc
#19093 创建新用户页面需要管理员用户被授予“管理-领域”角色才能在创建新用户页面中看到用户配置文件属性 admin/api
#19125 kcadm 不会更新 defaultGroups 文档
#19154 API 文档链接不起作用文档
#19555 启用更新电子邮件功能后，连续更改两次电子邮件会导致不直观的行为身份验证
#20135 在事件部分中搜索多种类型会导致错误 admin/client-js
#20218 角色映射器在不是多值时必须返回单个值 oidc
#20316 电子邮件模式不符合要求 account/api
#20453 具有 300 个领域的管理 UI 速度极慢 admin/api
#20537 [声明式用户配置文件] OIDCAttributeMapperHelper 为可选用户属性抛出 NumberFormatException user-profile
#20763 不稳定的测试：org.keycloak.testsuite.admin.authentication.FlowTest#testAddRemoveFlow ci
#20830 令牌交换在 KC 21.1.1 中对 OpenID Connect v1.0 提供程序不起作用 token-exchange
#20852 [声明式用户配置文件] 属性默认情况下被创建为必需，但开关设置为“非必需” user-profile
#20885 密钥长度限制为 4000 个字符存储
#21010 当领域包含超过约 4000 个客户端时，无法显示“身份验证流程”屏幕存储
#21123 getDefaultRequiredActionCaseInsensitively 中的 NPE admin/api
#21236 Keycloak 事件 clientId 为 null，无论何时触发注销事件。核心
#21555 由于领域下拉菜单，列出领域 admin/ui
#21660 将时间戳转换为日期错误 account/ui
#21779 不稳定的测试：org.keycloak.testsuite.script.DeployedScriptAuthenticatorTest#loginShouldWorkWithScriptAuthenticator 身份验证
#21780 不稳定的测试：org.keycloak.testsuite.script.DeployedScriptAuthenticatorTest#loginShouldFailWithScriptAuthenticator 身份验证
#21797 包含尾随反斜杠的 RDN 的 DN 被不正确地导入到 Keycloak 中 ldap
#21805 缺少帐户控制台标签 account/ui
#21818 包含尾随空格的 RDN 的 DN 被不正确地导入到 Keycloak 中 ldap
#21830 运算符不会将系统属性“jgroups.dns.query”传递给 Keycloak，而是传递一个环境变量，导致日志中出现警告运算符
#22143 WatchedSecretsTest.testSecretChangesArePropagated 在 OCP 中出错 ci
#22177 使用 JWT 认证客户端时缺少 client_id 验证匹配
#22191 在刷新令牌请求时验证 iss oidc
#22332 选择基于资源的权限上的资源会导致错误 admin/ui
#22337 如果在参数中使用分号之类的字符，kc.sh 会出错文档
#22375 可能的 NullPointerException 核心
#22395 当配置 SPI 信任库并将 hostnameVerification 设置为“ANY”时，电子邮件发送失败核心
#22432 管理 UI 未使用 inputOptionLabels admin/ui
#22583 细粒度权限未呈现 account/ui
#22638 SAML AdvancedAttributeToRoleMapper 不允许对相同数组属性进行谓词评估 saml
#22814 使用“q”参数的用户搜索忽略长度为 1 的键并返回所有用户 admin/api
#22818 帐户 UI v3 未使用 inputOptionLabels account/ui
#22890 Keycloak 22.0.1：在第二次保存时，编辑身份提供程序映射器出现 NPE admin/api
#22937 ProviderConfigProperty.MULTIVALUED_LIST_TYPE 在 FormAction 中不起作用 admin/ui
#22988 领域缓存失效后的缓存冲击 infinispan
#23044 文档：server_admin/topics/sessions/transient.adoc 身份验证
#23128 联合脚本 federation-sssd-setup.sh 中的正则表达式缺陷 dist/quarkus
#23173 crypto/elytron 包存在多个错误核心
#23180 用户配置文件管理 UI 中的 TypeError admin/ui
#23253 在运行 Quarkus 开发模式时，未识别 CLI 参数 dist/quarkus
#23255 SAML 身份提供程序中缺少多个帮助文本消息 admin/ui
#23404 当领域包含超过约 4000 个客户端时，无法将客户端角色分配给用户存储
#23444 在最近切换到 resteasy-reactive 之后，我们无法使用 resteasy-classic 或 jersey jax-rs 客户端。依赖项
#23582 加入组屏幕在没有过滤器的情况下不会显示子组 admin/ui
#23616 .ftl 文件中的无效标签 user-profile
#23692 客户端名称中出现 $ 符号时生成访问令牌异常核心
#23733 OpenAPI 规范与管理员 API 不匹配 admin/api
#23753 GzipResourceEncodingProvider 缺乏针对路径遍历的防护 core
#23789 在设置或删除注释之前无法创建属性组 user-profile
#23795 TokenManager.java 中的拼写错误 oidc
#23970 Keycloak 在导出领域时不会导出/导入用户配置文件数据 user-profile
#24032 如果存在两个键相同的属性，则不会保存组属性 admin/ui
#24035 管理员 UI：组列表下拉菜单操作不会更新组详细信息页面 admin/ui
#24067 管理员 UI 中的用户配置文件列表中显示重复的属性组 admin/ui
#24077 当用户配置文件被禁用且验证配置文件被启用时，如果用户没有添加 firstName 和 lastName，则会发生内部服务器错误 user-profile
#24096 文档化或避免 UserSessionModel 中的破坏性变更 core
#24160 HTTP/2 - 在某些配置中，POST 表单数据最后一个参数包含 0x00 字节。 core
#24183 创建用户时现在显示用户名，并且不允许编辑用户名 user-profile
#24187 管理员 UI 组视图显示先前查看的组的属性 admin/ui
#24293 当 LDAP 服务器离线时，b.map 不是函数错误 core
#24420 用户配置文件在 keycloak 22.0.5 中的行为不同 user-profile
#24453 当启用用户配置文件时，电子邮件验证复选框不再可见 admin/ui
#24455 使用 TransientUser 登录时出现 NPE storage
#24458 用户存储提供程序不可用时出现不友好的错误消息 admin/ui
#24487 在“忘记密码”流程中，隐藏字段的显示/隐藏密码明文按钮可见 login/ui
#24547 即使未启用 DPoP 功能（预览功能），DPoP 也在 OIDC 已知端点上发布 oidc
#24551 `./kc.sh tools completion` 命令无法正确识别 admin/cli
#24672 基本身份验证不符合 RFC 2617 标准 authentication
#24697 当用户配置文件上存在一些对他不可见的无效属性时，用户无法更新配置文件 user-profile
#24766 使用 Infinispan 上的 JDBC 时，会话持久性功能不正常 infinispan
#24792 如果 redirect_uri 包含大写字母，则为无效的 redirect_uri authentication
#24970 `jwt-decode` 被捆绑到 Keycloak JS 中 admin/client-js