Keycloak 24.0.5 发布
2024 年 6 月 4 日
要下载发行版,请访问 Keycloak 下载页面。
亮点
使用基于 client_secret_post 的身份验证的 PAR 客户端的安全性问题
此版本包含针对影响某些使用 PAR(推送授权请求)的 OIDC 机密客户端的重要安全问题的修复。如果您使用 OIDC 机密客户端与 PAR 协同工作,并且您使用基于通过 HTTP 请求主体发送的 client_id 和 client_secret 的客户端身份验证(在 OIDC 规范中指定的方法为 client_secret_post),强烈建议您在升级到此版本后旋转客户端的客户端密钥。
升级
在升级之前,请参考 迁移指南,获取完整的更改列表。
所有已解决的问题
增强功能
- #29073 使用 cache.compute() 方法改进替换重试循环
- #29280 更新 Keycloak 24 入门中的创建领域
错误
- #29129 JGroups 在内部切换到“跟踪”时创建日志消息 dist/quarkus
- #29206 LDAP 用户创建报告错误,但用户已创建 ldap
- #29314 在 Saml IDP 配置页面中多次点击“保存”按钮会导致“AuthnContext ClassRefs”的值损坏 admin/ui
- #29458 空的 CSP 标头值会破坏安全过滤器 authentication
- #29471 Cypress 测试即使通过测试也会存储视频 ci
- #29525 Maven 清理构建不会清理生成的管理员客户端文件 ci
- #29554 Cypress 在视频录制时失败 ci
- #29625 数据库驱动程序安装示例在某些情况下可能导致权限错误 docs