发布说明

如果您使用的是 Microsoft AD 并通过管理界面创建用户，则用户将默认情况下被创建为已启用。

在以前的版本中，只有在为用户设置（非临时）密码后才能更新用户状态。这种行为与其他内置用户存储不一致，也不一致于 LDAP 提供程序支持的其他 LDAP 供应商。

从 Keycloak 26 开始，完全支持组织功能。

Keycloak 25 引入了 persistent-user-sessions 功能。启用此功能后，所有用户会话都将持久化到数据库中，而不是以前仅将离线会话持久化到数据库中的行为。在 Keycloak 26 中，此功能默认情况下处于启用状态。这意味着所有用户会话默认情况下都将持久化到数据库中。

可以通过禁用该功能将此行为还原到以前的状态。有关更多详细信息，请按照 配置分布式缓存 指南中 易失性用户会话 部分进行操作。

有关如何升级的信息，请参阅 升级指南。

现在有一个新版本 (v2) 的 keycloak 登录主题，它提供了改进的外观和感觉，包括支持根据用户偏好自动切换到深色主题。

先前版本 (v1) 现在已弃用，将在将来某个版本中删除。

对于所有新的 realm，keycloak.v2 将是默认登录主题。此外，任何从未明确设置登录主题的现有 realm 将切换到 keycloak.v2。

Keycloak 26 对推荐的 HA 多站点体系结构进行了重大改进，最值得注意的是

有关如何迁移的信息，请参阅 升级指南。

在过去，当所有管理员用户都被锁定后重新访问 Keycloak 实例是一个具有挑战性和复杂的过程。Keycloak 认识到这些挑战并旨在显著提升用户体验，现在提供了几种简单的方法来引导临时管理员帐户并恢复丢失的管理员访问权限。

现在可以使用特定选项运行 start 或 start-dev 命令来创建临时管理员帐户。此外，还引入了新的专用命令，允许用户轻松地重新获得管理员访问权限。

有关此主题的详细说明和更多信息，请参阅 管理员引导和恢复 指南。

对 OpenTelemetry 追踪的底层 Quarkus 支持已暴露给 Keycloak，并允许获取应用程序跟踪以实现更好的可观察性。它有助于查找性能瓶颈，确定应用程序故障的原因，跟踪分布式系统中的请求等等。该支持处于预览模式，我们很乐意获得任何反馈。

有关更多信息，请参阅 启用追踪 指南。

可验证凭据签发 OpenID (OID4VCI) 仍然是 Keycloak 中的一个实验性功能，但在这个版本中得到了极大的改进。您将在 Keycloak OAuth SIG 中找到大量的开发和讨论。欢迎 Keycloak 社区的任何成员加入。

非常感谢 OAuth SIG 组的所有成员参与此功能的开发和讨论。特别感谢 Francis Pouatcha、Pascal Knüppel、Takashi Norimatsu、Ingrid Kamga、Stefan Wiedemann 和 Thomas Darimont。

DPoP（OAuth 2.0 证明拥有权）预览功能已得到改进。DPoP 现在支持所有授权类型。在之前的版本中，此功能仅支持 authorization_code 授权类型。UserInfo 端点也支持 DPoP 令牌类型。

非常感谢 Pascal Knüppel 的贡献。

GELF 支持已经过时了一段时间，在这个版本中它终于从 Keycloak 中删除了。其他日志处理程序可用，并完全支持用作 GELF 的替代，例如 Syslog。有关详细信息，请参阅 日志记录指南。

现在可以在管理员 REST API 上使用轻量级访问令牌。security-admin-console 和 admin-cli 客户端现在默认使用轻量级访问令牌，因此这两个客户端现在启用了“始终使用轻量级访问令牌”和“允许完整范围”。但是，管理员控制台的行为应该保持不变。如果您对这两个客户端进行了更改，并且您将它们用于其他目的，请谨慎操作。

Keycloak JavaScript 适配器现在是一个独立的库，因此不再从 Keycloak 服务器静态提供。目标是将库与 Keycloak 服务器分离，以便可以独立地重构库，简化代码并在将来更易于维护。此外，该库现在没有第三方依赖关系，这使其更轻量级，更易于在不同的环境中使用。

有关更改的完整细分，请参阅 升级指南。

已删除过时的主机名 v1 功能。此功能在 Keycloak 25 中被弃用，并被主机名 v2 取代。如果您仍在使用此功能，则必须迁移到主机名 v2。有关更多详细信息，请参阅 配置主机名 (v2) 和 初始迁移指南。

当指定 http-relative-path 属性时，用户会自动重定向到 Keycloak 托管的路径。这意味着当将相对路径设置为 /auth 时，用户访问 localhost:8080/，页面会重定向到 localhost:8080/auth。

当指定 http-management-relative-path 或 http-relative-path 属性时，管理界面也是如此。

它改善了用户体验，因为用户不再需要显式地将相对路径设置为 URL。

在此版本中，当使用嵌入式缓存时，撤销的访问令牌默认写入数据库并在集群重新启动时重新加载。

有关如何迁移的信息，请参阅 升级指南。

基于客户端属性的条件已添加到客户端策略中。您可以使用条件来指定具有指定值的指定客户端属性的客户端。如客户端策略文档中所述，在评估此条件时可以使用 AND 或 OR 条件。

非常感谢 Yoshiyuki Tabata 的贡献。

可以为所有可用的日志处理程序指定日志级别，例如 console、file 或 syslog。更细粒度的方案提供了控制整个应用程序日志记录的能力，并可以根据您的需求进行调整。

有关更多信息，请参阅 日志记录指南。

已删除过时的 proxy 选项。此选项在 Keycloak 24 中被弃用，并被 proxy-headers 选项结合主机名选项（如果需要）取代。有关更多详细信息，请参阅 使用反向代理 和 初始迁移指南。

当 proxy-headers 选项设置为指定信任的代理地址的白名单时，可以使用 proxy-trusted-addresses。如果给定请求的代理地址不可信，则不会使用相应的代理标头值。

proxy-protocol-enabled 选项控制服务器是否应该在从代理后面提供请求时使用 HA PROXY 协议。当设置为 true 时，返回的远程地址将是来自实际连接客户端的地址。

可以设置 https-certificates-reload-period 选项来定义 https-* 选项引用的密钥库、信任库和证书文件的重新加载周期。使用 -1 禁用重新加载。默认为 1h（一小时）。

可以设置 --cache-embedded-${CACHE_NAME}-max-count= 来定义指定缓存中缓存条目数量的上限。

根据社区反馈，我们决定取消弃用 https-trust-store-* 选项以允许在受信任的证书中获得更好的粒度。

java-keystore 密钥提供程序允许从外部 java 密钥库文件加载领域密钥，它已被修改以管理所有 Keycloak 算法。此外，密钥库和密钥机密（用于从存储库中检索实际密钥）可以使用 保管库 进行配置。因此，Keycloak 领域可以将任何密钥外部化为加密文件，而不会在数据库中存储敏感数据。

有关此主题的更多信息，请参阅 配置领域密钥。

现在 Keycloak 允许将 ECDH-ES、ECDH-ES+A128KW、ECDH-ES+A192KW 或 ECDH-ES+A256KW 配置为客户端的加密密钥管理算法。使用椭圆曲线 Diffie-Hellman 瞬态静态 (ECDH-ES) 的密钥协商规范为 JWT 引入了三个新的标头参数：epk、apu 和 apv。当前 Keycloak 实现仅管理强制的 epk，而另外两个（可选）从未添加到标头中。有关这些算法的更多信息，请参阅 JSON Web 算法 (JWA)。

此外，新的密钥提供程序 ecdh-generated 可用于生成领域密钥，并且 Java KeyStore 提供程序中添加了对 ECDH 算法的支持。

非常感谢 Justin Tay 的贡献。

现在可以在一个领域中拥有多个相同社交代理的实例。

大多数时候，一个领域不需要多个相同社交代理的实例。但由于引入了 organization 功能，因此应该可以将同一社交代理的不同实例链接到不同的组织。

创建社交代理时，现在应该像任何其他代理一样提供一个 Alias，并可以选择提供一个 Display name。

现在有用于更新 (UPDATE_CREDENTIAL) 和删除 (REMOVE_CREDENTIAL) 凭据的通用事件。凭据类型在事件的 credential_type 属性中描述。新的事件类型受电子邮件事件侦听器支持。

以下事件类型现已过时，将在未来版本中删除：UPDATE_PASSWORD、UPDATE_PASSWORD_ERROR、UPDATE_TOTP、UPDATE_TOTP_ERROR、REMOVE_TOTP、REMOVE_TOTP_ERROR

base/login 和 keycloak.v2/login 主题中的 template.ftl 文件现在允许自定义登录框的页脚。这可用于显示常用链接或在页面末尾包含自定义脚本。

新的 footer.ftl 模板提供了一个 content 宏，它在“登录框”的底部呈现。

Keycloak CR 现在公开了一流的属性，用于控制 Keycloak Pod 的调度。

有关更多详细信息，请参阅 操作员高级配置。

KeycloakRealmImport CR 现在公开 spec.placeholders 以创建用于在导入中替换占位符的环境变量。

有关更多详细信息，请参阅 操作员领域导入。

在此版本中，LDAP 连接池配置完全依赖于系统属性。

有关更多详细信息，请参阅 配置连接池。

序列化是将 Java 对象转换为字节以在 Keycloak 服务器之间跨网络发送它们的进程。在 Keycloak 26 中，我们将序列化格式从 JBoss 序列化更改为 Infinispan Protostream。

Infinispan Protostream 基于 协议缓冲区 (proto 3)，它具有向后/向前兼容的优点。

由于所有使用 OSGi 元数据的 Java 适配器都已删除，因此我们已停止为我们的 jar 生成 OSGi 元数据。

为了提高组的可扩展性，现在在删除领域时直接从数据库中删除组。因此，在删除领域时不再触发与组相关的事件，例如 GroupRemovedEvent。

有关如何迁移的信息，请参阅 升级指南。

作为对 realm 和组织在拥有众多身份提供者时的可扩展性改进的一部分，realm 表示不再包含身份提供者列表。但是，在导出 realm 时，它们仍然可以通过 realm 表示获取。

有关如何迁移的信息，请参阅 升级指南。

安全应用程序和服务文档已转换为与先前版本中转换的服务器安装和配置文档类似的新格式。该文档现在可在Keycloak 指南中找到。

Keycloak 不再发送_LEGACY Cookie，这些 Cookie 是作为对不支持 Cookie 上SameSite 标志的旧版浏览器的解决方法引入的。

_LEGACY Cookie 还用于另一个目的，即允许从不安全上下文中登录。尽管在 Keycloak 的生产部署中完全不建议这样做，但在localhost之外通过http访问 Keycloak 却相当普遍。作为_LEGACY Cookie 的替代方案，Keycloak 现在在检测到使用不安全上下文时，不会设置secure 标志，而是设置SameSite=Lax，而不是SameSite=None。

UserRepresentation 中的origin 属性已弃用，并计划在将来的版本中删除。

改为使用federationLink 属性来获取用户链接到的提供者。

账户控制台 v2 主题已从 Keycloak 中删除。该主题在 Keycloak 24 中被弃用，并被账户控制台 v3 主题取代。如果您仍在使用该主题，则应迁移到账户控制台 v3 主题。

Keycloak 现在支持 OpenJDK 21，因为我们希望坚持使用最新的 LTS OpenJDK 版本。

OpenJDK 17 支持在 Keycloak 中被弃用，并将被删除在接下来的版本中，以支持 OpenJDK 21。

正如先前 Keycloak 版本的发布说明中所述，大多数 Java 适配器现在已从 Keycloak 代码库和下载页面中删除。

对于 OAuth 2.0/OIDC，这包括删除 Tomcat 适配器、WildFly/EAP 适配器、Servlet 过滤器适配器、KeycloakInstalled 桌面适配器、jaxrs-oauth-client 适配器、JAAS 登录模块、Spring 适配器和 SpringBoot 适配器。您可以查看我们之前的文章以了解一些替代方案的列表。

对于 SAML，这包括删除 Tomcat 适配器和 Servlet 过滤器适配器。SAML 适配器仍然支持 WildFly 和 JBoss EAP。

通用的授权客户端库仍然受支持，我们仍然计划支持它。它的目标是与任何其他 OAuth 2.0 或 OpenID Connect 库结合使用。您可以查看快速入门，了解使用授权客户端库与第三方 Java 适配器（如 Elytron OIDC 或 SpringBoot）结合使用的示例。您还可以查看快速入门中有关使用 WildFly 的 SAML 适配器示例。

在 Keycloak 24 中，欢迎页面已更新为使用PatternFly 5，这是 Keycloak 用户界面基础设计系统的最新版本。在此版本中，管理控制台和账户控制台也已更新为使用 PatternFly 5。如果您想扩展和自定义管理控制台和账户控制台，请查看PatternFly 5 中的更改，并相应地更新您的自定义项。

Argon2 现在是 Keycloak 在非 FIPS 环境中使用的默认密码哈希算法。

Argon2 是2015 年密码哈希竞赛的获胜者，并且是OWASP 推荐的哈希算法。

在 Keycloak 24 中，PBKDF2 的默认哈希迭代次数从 27.5K 增加到 210K，导致生成密码哈希所需的 CPU 时间增加了 10 倍以上。使用 Argon2，可以以几乎与先前版本的 Keycloak 相同的 CPU 时间实现更好的安全性。一个缺点是 Argon2 需要更多内存，这是抵御 GPU 攻击的必要条件。Keycloak 中 Argon2 的默认设置每个哈希请求需要 7MB 的内存。为了防止过度使用内存和 CPU，Argon2 对哈希的并行计算默认限制为 JVM 可用的核心数。为了支持 Argon2 的内存密集型特性，我们已将默认 GC 从 ParallelGC 更新为 G1GC，以便更好地利用堆内存。

请注意，Argon2 不符合 FIPS 140-2。因此，如果您在 FIPS 环境中，默认算法仍然是 PBKDF2。还要注意，如果您在非 FIPS 环境中，并且计划迁移到 FIPS 环境，请考虑在一开始就将密码策略更改为符合 FIPS 的算法，例如pbkdf2-sha512。否则，用户在切换到 FIPS 环境后将无法登录。

为了应对先前主机名配置设置所带来的复杂性和缺乏直观性，我们很荣幸地推出主机名 v2 选项。

我们倾听了您的反馈，解决了棘手的问题，并为管理主机名配置创造了更流畅的体验。请注意，即使这些选项背后的行为也已发生变化，并且需要您注意 - 如果您正在处理自定义主机名设置。

主机名 v2 选项默认支持，因为旧的主机名选项已弃用，将在接下来的版本中删除。您应尽快迁移到它们。

新选项默认激活，因此 Keycloak 不会识别旧选项。

有关如何迁移的信息，请参阅 升级指南。

先前版本的 Keycloak 仅将离线用户和离线客户端会话存储在数据库中。新功能persistent-user-sessions 不仅将在线用户会话和在线客户端会话存储在内存中，还存储在数据库中。这将允许用户即使 Keycloak 的所有实例都重新启动或升级，也能保持登录状态。

该功能是一个预览功能，默认情况下处于禁用状态。要使用它，请将以下内容添加到您的构建命令中

有关更多详细信息，请参阅启用和禁用功能指南。大小调整指南包含一个新段落，描述启用该功能时的更新资源要求。

有关如何升级的信息，请参阅 升级指南。

以下用于设置自定义 Cookie 的 API 已被删除

Keycloak 23 版本提供了当用户在多个浏览器选项卡中并行进行身份验证时的改进。但是，此改进并未解决身份验证会话过期的情况。现在，对于用户已在一个浏览器选项卡中登录，而在其他浏览器选项卡中身份验证会话已过期的情况，Keycloak 能够使用 OIDC/SAML 错误重定向回客户端应用程序，以便客户端应用程序可以立即重试身份验证，这通常会自动登录应用程序，因为 SSO 会话的存在。有关更多详细信息，请参阅服务器管理指南身份验证会话。

在以前的版本中，添加了对轻量级访问令牌的支持。在此版本中，我们设法从轻量级访问令牌中删除了更多内置声明。这些声明是由协议映射器添加的。其中一些甚至会影响常规访问令牌或 ID 令牌，因为它们不是 OIDC 规范严格要求的。

有关更多详细信息，请参阅升级指南。

在调用令牌自省端点时，您可以使用 HTTP 标头Accept: application/jwt。当为特定客户端启用时，它会从令牌自省端点返回一个声明jwt，其中包含完整的 JWT 访问令牌，这对于客户端调用自省端点使用轻量级访问令牌的用例尤其有用。感谢Thomas Darimont 的贡献。

Keycloak 支持一项新的密码策略，允许您拒绝包含用户用户名在内的用户密码。

在管理控制台中，您现在可以在特定领域的“必需操作”选项卡中配置一些必需操作。目前，**更新密码**是唯一内置的可配置必需操作。它支持设置**身份验证最大期限**，即用户在未重新验证的情况下（例如，在更新帐户控制台中的密码时）通过 `kc_action` 参数（用于实例）更新密码的最大时间。必需操作的排序也得到了改进。当身份验证期间有多个必需操作时，所有操作将一起排序，无论这些操作是在身份验证期间设置的（例如，通过 `kc_action` 参数）还是由管理员手动添加到用户帐户的。感谢 Thomas Darimont 和 Daniel Fesenmeyer 的贡献。

添加了对通行密钥条件 UI 的支持。当启用通行密钥预览功能时，将提供一个专用身份验证器，这意味着您可以从可用通行密钥帐户列表中进行选择并根据该帐户对用户进行身份验证。感谢 Takashi Norimatsu 的贡献。

添加了默认客户端配置文件以确保 SAML 客户端的安全。在管理控制台中浏览领域的客户端策略时，您将看到一个新的客户端配置文件 `saml-security-profile`。使用它时，将对 SAML 客户端应用安全最佳实践，例如强制执行签名、禁用 SAML 重定向绑定以及禁止通配符重定向 URL。

添加了新的身份验证器 `Confirm override existing link`。此身份验证器允许覆盖与 Keycloak 用户关联的 IDP 用户名，该用户之前已与不同的 IDP 身份关联。有关更多详细信息，请参阅 服务器管理指南。感谢 Lex Cao 的贡献。

OpenID 用于可验证凭证签发 (OID4VCI) 的支持正在开发中。目前，这仍然是一个正在进行的工作，但正在逐渐添加内容。Keycloak 可以充当 OID4VC 发行者，支持预授权代码流程。JWT-VC、SD-JWT-VC 和 VCDM 格式的可验证凭证均受支持。感谢 OAuth SIG 小组成员的贡献和反馈，尤其是感谢 Stefan Wiedemann、Francis Pouatcha、Takashi Norimatsu 和 Yutaka Obuchi。

按用户属性搜索用户时，Keycloak 不再搜索用户属性名称，从而强制执行小写比较。此更改的目的是通过使用 Keycloak 在用户属性表上的本机索引来加快搜索速度。如果您的数据库排序规则不区分大小写，您的搜索结果将保持不变。如果您的数据库排序规则区分大小写，您可能会看到比以前更少的搜索结果。

对于 `keycloak-authz-client` 库的用户，调用 `AuthorizationResource.getPermissions(…​)` 现在会正确地返回一个 `List<Permission>`。

以前，它会在运行时返回一个 `List<Map>`，即使方法声明宣传的是 `List<Permission>`。

此修复程序将破坏依赖于将 List 或其内容强制转换为 `List<Map>` 的代码。如果您在任何情况下使用过此方法，您很可能已经执行过此操作并且会受到影响。

导出客户端的授权设置时，资源、范围和策略的 ID 不再设置。因此，您现在可以将设置从一个客户端导入到另一个客户端。

度量和运行状况检查端点不再通过标准 Keycloak 服务器端口访问。由于这些端点应该对外部世界隐藏，因此可以通过单独的默认管理端口 `9000` 访问它们。

它允许在 Kubernetes 环境中不将它公开给用户作为标准 Keycloak 端点。新的管理界面提供了一套新的选项，并且可以完全配置。

Keycloak Operator 假定默认情况下管理界面已打开。有关更多详细信息，请参阅 配置管理界面。

Keycloak 现在支持用于远程日志记录的 Syslog 协议。它使用在 RFC 5424 中定义的协议。默认情况下，syslog 处理程序处于禁用状态，但启用后，它会将所有日志事件发送到远程 syslog 服务器。

有关更多信息，请参阅 配置日志记录 指南。

方法 `EnvironmentDependentProviderFactory.isSupported()` 已在几个版本中弃用，现在已删除。

有关更多详细信息，请参阅 升级指南。

现在可以在运行时指定 `cache`、`cache-stack` 和 `cache-config-file` 选项。这消除了由于它们而执行构建阶段并重新构建映像的需要。

有关更多详细信息，请参阅 升级指南。

高可用性指南现在包含有关如何配置 AWS Lambda 以防止从备份站点到主站点的预期自动故障转移的指南。

在此版本中，我们最终将从以下类中删除已弃用的方法

有关更多详细信息，请参阅 升级指南。

由于从 `AccessToken`、`IDToken` 和 `JsonWebToken` 中删除了已弃用的方法，因此 `SingleUseObjectKeyModel` 也发生了更改，以保持与与到期值相关的函数名的一致性。

有关更多详细信息，请参阅 升级指南。

受支持和经过测试的数据库现在包括 PostgreSQL 16。

在此版本中，我们正在提供 Keycloak 组织作为一项技术预览功能。

此功能为领域提供了一些核心 CIAM 功能，它将作为将来更多功能的基础，以解决企业对企业 (B2B) 和企业对企业对客户 (B2B2C) 的用例。

就功能而言，该功能已完成。但是，我们仍然需要做一些工作才能在下一个主要版本中使其完全受支持。这项剩余的工作主要是关于为生产部署准备功能，重点是可扩展性。此外，根据我们收到下一个主要版本之前的反馈，我们最终可能会接受其他功能并为该功能增加更多价值，而不会影响其路线图。

有关更多详细信息，请参阅 服务器管理指南。

此版本包含影响一些使用 PAR（推送授权请求）的 OIDC 机密客户端的重要安全问题的修复。如果您将 OIDC 机密客户端与 PAR 结合使用，并且使用基于 `client_id` 和 `client_secret` 的客户端身份验证（作为 HTTP 请求正文中的参数发送，`client_secret_post` 方法在 OIDC 规范中指定），强烈建议您在升级到此版本后轮换客户端密钥。

通过管理用户 API 更新用户属性时，您无法在更新用户属性时执行部分更新，包括 `username`、`email`、`firstName` 和 `lastName` 等根属性。

有关更多详细信息，请参阅 升级指南。

由于使用运算符部署 Keycloak 时在发布过程中出现问题，因此它安装了 `nightly` 容器，而不是 `24.0.0`。

作为对该问题的快速修复，`24.0.0` 容器已标记为 `nightly`，并且 `nightly` 版本已暂时禁用。

如果您在昨天中欧时间下午 5 点之前使用运算符安装或升级到 `24.0.0`，则数据库可能已使用错误的版本更新。要检查您是否受到影响，请连接到您的数据库并运行以下 SQL 命令

如果以上返回匹配的行，您需要采取一些操作，否则数据库迁移将不会为将来的版本运行。要解决此问题，请运行以下 SQL 命令

用户配置文件预览功能已升级为完全支持，并且用户配置文件默认启用。

在过去几个月里，Keycloak 团队花费了大量精力来完善用户配置文件功能，使其完全受支持。在此版本中，我们继续了这项工作。根据我们出色的社区的全面测试和反馈，进行了许多改进、修复和完善。

以下是此功能的一些亮点；

用户画像作为支持功能的首次发布仅仅是起点，为提供更多关于身份管理的功能奠定了基础。

我们衷心感谢Keycloak社区的贡献，因为许多想法、需求和贡献都来自社区！特别感谢

有关用户画像功能的更多详细信息，请参阅服务器管理指南。

早在2022年，我们就宣布了在Keycloak 19中弃用Keycloak适配器。为了给社区更多时间采用，这项计划被推迟了。

考虑到这一点，这将是Keycloak的最后一个包含OpenID Connect和SAML适配器的主要版本。由于Jetty 9.x自2022年以来一直不受支持，因此Jetty适配器已在此版本中被删除。

通用授权客户端库将继续得到支持，旨在与任何其他OAuth 2.0或OpenID Connect库结合使用。

我们将继续提供的唯一适配器是适用于最新版本WildFly和EAP 8.x的SAML适配器。继续支持此适配器的原因是，Keycloak中大部分SAML代码库来自WildFly的贡献。作为这项贡献的一部分，我们同意长期维护WildFly和EAP的SAML适配器。

首次使用Keycloak时出现的“欢迎”页面已重新设计。它提供了更好的设置体验，并符合最新版本的PatternFly。简化的页面布局仅包含一个用于注册第一个管理用户的表单。完成注册后，用户将直接被发送到管理控制台。

如果您使用的是自定义主题，您可能需要更新它以支持新的欢迎页面。有关详细信息，请参阅升级指南。

我们在Keycloak 22中以预览功能的形式引入了第3版账户控制台。在此版本中，我们将它设置为默认版本，并在此过程中弃用了第2版，第2版将在后续版本中被删除。

这个新版本内置支持用户画像功能，允许管理员配置账户控制台中可供用户使用的属性，并在用户登录后直接将其带到他们的个人账户页面。

如果您使用或扩展了此主题的自定义功能，您可能需要执行其他迁移操作。有关更多详细信息，请参阅升级指南。

在此版本中，我们调整了密码散列默认值，以符合OWASP密码存储建议。

作为此更改的一部分，默认密码散列提供程序已从pbkdf2-sha256更改为pbkdf2-sha512。此外，基于pbkdf2的密码散列算法的默认散列迭代次数也有所改变。此更改意味着更符合最新建议的安全性，但会影响性能。通过在您的领域中添加密码策略hashAlgorithm和hashIterations，您可以保持旧的行为。有关更多详细信息，请参阅升级指南。

与CORS相关的Keycloak功能已提取到SPI中，这可以提供额外的灵活性。请注意，CorsSPI是内部的，可能会在将来的版本中发生更改。感谢Dmitry Telegin的贡献。

Keycloak 引入了改进的信任库配置选项。Keycloak 信任库现在用于整个服务器，包括传出连接、mTLS 和数据库驱动程序。您不再需要为各个区域配置单独的信任库。要配置信任库，您可以将信任库文件或证书放在默认的 conf/truststores 中，或者使用新的 truststore-paths 配置选项。有关详细信息，请参阅相关指南。

功能现在支持版本控制。为了保持向后兼容性，所有现有的功能（包括 account2 和 account3）都被标记为版本 1。新引入的功能将使用版本控制，这意味着用户可以选择所需功能的不同实现。

有关详细信息，请参阅功能指南。

SAML 身份提供者现在可以配置为自动从 IDP 实体元数据描述符端点下载签名证书。为了使用新功能，请在提供者中配置 Metadata descriptor URL 选项（发布证书的 IDP 元数据信息的 URL），并将 Use metadata descriptor URL 设置为 ON。证书会从该 URL 自动下载并缓存在 public-key-storage SPI 中。还可以使用提供者页面中的操作组合，从管理控制台重新加载或导入证书。

有关新选项的更多详细信息，请参阅文档。

添加了一个新的健康检查端点，位于 /lb-check。执行在事件循环中运行，这意味着即使在 Keycloak 需要处理请求队列中许多请求的负载过重的情况下，此检查也是响应的。例如，在多站点部署中，此行为有助于避免故障转移到负载过重的另一个站点。该端点目前正在检查嵌入式和外部 Infinispan 缓存的可用性。以后可能会添加其他检查。

此端点默认不可用。要启用它，请使用 multi-site 功能运行 Keycloak。有关详细信息，请参阅启用和禁用功能。

Keycloak CR 现在包含一个 startOptimized 字段，可用于覆盖关于是否为启动命令使用 --optimized 标志的默认假设。因此，即使使用自定义 Keycloak 镜像，您也可以使用 CR 配置构建时间选项。

现在可以使用新的 --proxy-headers 选项分别启用解析 Forwarded 或 X-Forwarded-* 标头。有关详细信息，请参阅反向代理指南。原始的 --proxy 选项现已弃用，将在将来的版本中删除。有关迁移说明，请参阅升级指南。

在此版本中，我们通过将根用户属性（如 username、email、firstName、lastName 和 locale）移动到一个基础/抽象类来封装它们，以使使用管理员和帐户 REST API 时这些属性的编组和解组方式保持一致。

此策略确保了客户端管理属性的方式的一致性，并确保它们符合设置为领域的配置文件。

有关更多详细信息，请参阅 升级指南。

从本版本开始，Keycloak 集群的第一个成员将顺序加载远程会话，而不是并行加载。如果启用了离线会话预加载，它们也将顺序加载。

有关更多详细信息，请参阅 升级指南。

在此版本中，如果用户已验证，并且操作绑定到另一个用户，您将无法再执行电子邮件验证等操作。例如，如果电子邮件链接绑定到不同的帐户，用户将无法完成电子邮件验证流程。

在此版本中，如果用户尝试按照链接验证电子邮件，并且之前已验证电子邮件，则会显示一条适当的消息。

除此之外，还会触发一个新的错误 (EMAIL_ALREADY_VERIFIED) 事件，以指示尝试验证已验证的电子邮件。您可以使用此事件来跟踪在链接泄露的情况下可能存在劫持用户帐户的企图，或者在用户不认识该操作时提醒用户。

Keycloak 的默认行为是在需要时加载离线会话。在启动时预加载它们的旧行为现在已弃用，因为在启动时预加载它们在会话数量不断增加的情况下无法很好地扩展，并且会增加 Keycloak 的内存使用量。旧行为将在将来的版本中删除。

有关更多详细信息，请参阅 升级指南。

为了减少内存需求，我们引入了一个配置选项来缩短导入到 Infinispan 缓存中的离线会话的生存期。目前，离线会话生存期覆盖默认情况下处于禁用状态。

有关详细信息，请参阅服务器管理指南。

启用 Keycloak 嵌入式缓存的指标时，指标现在使用标签表示缓存管理器和缓存名称。

有关更多详细信息，请参阅 升级指南。

从本版本开始，Keycloak 支持存储和按用户属性值进行搜索，这些属性值长度超过 255 个字符，而这以前是限制。

有关更多详细信息，请参阅 升级指南。

暴力破解保护进行了一些增强

在以前的 Keycloak 版本中，如果用户、组或客户端策略的最后一个成员被删除，则该策略也将被删除。不幸的是，这会导致特权升级，如果策略用于聚合策略。为了避免特权升级，效果策略将不再被删除，管理员需要更新这些策略。

Keycloak CR 现在允许使用 cache spec configMapFile 字段指定 cache-config-file 选项，例如

Keycloak CR 现在允许为管理 Keycloak 容器的计算资源指定 resources 选项。它提供了通过 Keycloak CR 为主要 Keycloak 部署独立请求和限制资源，以及通过 Realm 导入 CR 为领域导入作业请求和限制资源的能力。

当未指定任何值时，默认的 requests 内存设置为 1700MiB，limits 内存设置为 2GiB。

您可以根据自己的要求指定自定义值，如下所示

有关详细信息，请参阅Operator 高级配置。

当用户因暴力破解保护器而被暂时锁定时，现在会出现一个新的事件 USER_DISABLED_BY_TEMPORARY_LOCKOUT。已删除 ID 为 KC-SERVICES0053 的日志，因为新事件以结构化形式提供信息。

有关更多详细信息，请参阅 升级指南。

cookie 处理代码已重构和改进，包括一个新的 Cookie 提供者。这为 Keycloak 处理的 cookie 提供了更好的一致性，以及在需要时引入有关 cookie 的配置选项的能力。

用于 NameID 的用户属性映射器允许将 Name ID Format 选项设置为以下值

但是，Keycloak 不支持接收包含其中一个 NameIDPolicy 的 AuthnRequest 文档，因此这些映射器将永远不会被使用。支持的选项已更新，仅包含以下 Name ID 格式

Keycloak 不再为初始堆大小和最大堆大小指定硬编码值，而是使用相对于容器总内存的相对值。JVM 选项 -Xms 和 -Xmx 被 -XX:InitialRAMPercentage 和 -XX:MaxRAMPercentage 替换。

有关更多详细信息，请参阅 升级指南。

随着提供与 GELF 集成的基础库的停用，Keycloak 将不再开箱即用地支持 GELF 日志处理程序。此功能将在将来的版本中删除。如果您需要外部日志管理，请考虑使用文件日志解析。

将 Keycloak 部署到多个独立站点对于某些环境至关重要，以便提供高可用性和快速恢复故障。此版本支持 Keycloak 的活动-被动部署。

要开始使用，请使用高可用性指南，其中还包括一个综合蓝图，用于将高可用性 Keycloak 部署到云环境。

声明式用户资料在此版本中仍然是预览功能，但我们正在努力将其提升为受支持的功能。欢迎反馈。如果您发现任何问题或有任何改进的想法，请随时创建 Github 问题，理想情况下应贴上 area/user-profile 标签。建议您还查看 升级指南，其中包含与此版本迁移更改相关的其他信息。

针对包含许多组和子组的使用场景，对组搜索的性能进行了改进。有一些改进，允许分页查找子组。感谢 Alice 的贡献。

Keycloak 22.0.2 中引入了安全漏洞。我们强烈建议不要升级到 22.0.2，并且对于已在生产环境中部署了 22.0.2 的任何用户，请立即升级到 22.0.3。

对于在将 Keycloak 升级到 22.0.2 后自我注册的用户，他们的密码未安全存储，并且可能暴露给 Keycloak 管理员。这只会影响在升级发布后注册的用户，不会影响以前注册的任何用户。

任何使用预览版声明式用户资料的领域都不会受到此问题的影响，只有使用默认用户资料提供者的领域才会受到影响。

要确定您的部署中是否有任何受影响的用户，您可以通过访问数据库并运行以下 SQL 语句来查询它们

我们建议联系所有受影响的用户，并为他们添加“需要更新密码”操作。

如果存在任何受影响的用户，我们还建议通过运行以下 SQL 语句从数据库中删除这些属性

如果在 22.0.2 版本发布后对数据库进行了任何备份，并且存在受影响的用户，我们建议删除这些备份。

Keycloak 现在在一个领域中支持多个 LDAP 提供者，这些提供者支持与同一 Kerberos 领域进行 Kerberos 集成。当 LDAP 提供者无法找到通过 Kerberos/SPNEGO 进行身份验证的用户时，Keycloak 会尝试回退到下一个 LDAP 提供者。Keycloak 还更好地支持单个 LDAP 提供者支持多个彼此信任的 Kerberos 领域的场景。

允许将 OpenShift 3.x 中的内部 IdP 替换为 Keycloak 的openshift-integration 预览功能已从 Keycloak 代码库中移除到单独的扩展项目中。

如果应用程序客户端使用非 http(s) 自定义方案，从现在起，验证要求有效的重定向模式明确允许该方案。允许custom方案的示例模式为custom:/test、custom:/test/*或custom:*。出于安全原因，*之类的通用模式不再涵盖它们。

过去，Keycloak 在多个 GitHub 存储库中维护。

拥有多个存储库带来了很多复杂性和工作量。例如，通常需要向不同的存储库发送多个拉取请求才能进行单个更改。

为了简化流程，我们现在已将所有内容迁移到主存储库中。

Keycloak 中的 FIPS 140-2 支持（在之前的版本中是预览版）现在被提升为正式支持的功能。

帐户控制台版本 3 现在在 Keycloak 中以实验性功能的形式提供。此版本支持使用“用户配置文件”功能创建的自定义字段。如果您想试用它并向我们提供一些早期反馈，您可以按如下方式启用它

作为移除已弃用适配器的一部分，Keycloak 策略执行器已从适配器代码库中提取到一个单独的依赖项中

通过提供此依赖项，我们希望能够将策略执行器与您喜欢的 Java 堆栈集成。

它还提供内置支持，使策略执行器能够与使用Wildfly Elytron保护的Jakarta应用程序一起使用。

目前，此依赖项尚未GA，因为我们仍在开发快速入门和文档。

此工作不应影响使用已弃用适配器的现有应用程序。= 默认情况下提供的 Javascript 引擎

在以前版本中，当 Keycloak 在 Java 17 上使用 Javascript 提供程序时，需要将 Nashorn Javascript 引擎添加到发行版中。由于 Keycloak 服务器默认提供 Nashorn Javascript 引擎，因此不再需要这样做。

在 Keycloak 19 中，新的管理控制台已升级为新的默认管理控制台，而旧的管理控制台已被弃用。在此版本中，旧的管理控制台已被完全移除。

Keycloak 提供了一个可选的指标端点，该端点以 Prometheus 格式导出指标。在此版本中，提供此数据的实现从 SmallRye 切换到 Micrometer。由于此更改，指标已重命名。

有关详细信息，请参阅迁移指南。

现在，使用 Java 11 运行 Keycloak 服务器已被弃用，并计划在 Keycloak 22 中移除。

适配器在 Java 8、Java 11 和 Java 17 上仍然受支持。但是，我们计划在不久的将来移除对 Java 8 的支持。

我们在此版本中移除了对 Hashicorp vault 的开箱即用支持。

有关详细信息，请参阅此讨论。

在此版本之前，SAML SP 元数据包含用于签名和加密的相同密钥。从 Keycloak 的此版本开始，我们仅包含用于加密的加密意图领域密钥。对于每个加密密钥描述符，我们还指定了它应该使用的算法。下表显示了支持的 XML-Enc 算法与 Keycloak 领域密钥的映射。有关详细信息，请参阅升级指南。

从用户会话提供程序中移除了一些已弃用的方法。如果尚未完成，则需要使用 Keycloak 20 版本的 Javadoc 中记录的相应替换来替换它们的使用。有关详细信息，请参阅升级指南。

RoleModel 中的 IS_CLIENT_ROLE 可搜索字段已弃用。它应该替换为与运算符 EXISTS 或 NOT_EXISTS 一起使用的 CLIENT_ID 可搜索字段。有关详细信息，请参阅 Keycloak 21 的 JavaDoc。

Keycloak 中的 FIPS 140-2 支持在先前版本中是实验性的，现在已升级为预览版。为了创建此预览版，已经进行了许多修复和改进。有关详细信息，请参阅FIPS 文档。欢迎反馈！

再次感谢David Anderson、Sudeep Das 和Isaac Jensen 对此功能的巨大帮助。

除了识别非标准 X-Forwarded-* 以获取代理添加的信息（这些信息在代理服务器参与请求路径时会被更改或丢失）外，Keycloak 现在还可以利用标准 Forwarded 标头来实现相同目的。

有关详细信息，请参阅使用反向代理指南。

请确保您的代理在向 Keycloak 节点发出请求时也覆盖 Forwarded 标头。

为了增强安全性，Keycloak 容器映像 已以两种方式进行了修改：首先，它现在基于 UBI9，而不是 UBI8。其次，我们已切换到 -micro，而之前使用的是 -minimal。

切换到 UBI9 对大多数用户不会产生任何影响。在极少数情况下，可能会出现 glibc 错误CPU 不支持 x86-64-v2。x86-64-v2 从 2009 年开始就已经在处理器中提供。当您的虚拟化环境配置错误时，您最有可能遇到此问题。

从 -minimal 切换到 -micro 有更大的潜在影响。对映像进行简单自定义的用户不会注意到任何区别，但是任何安装 RPM 的用户都需要更改安装方式。在容器中运行 Keycloak指南已更新，以向您展示如何操作。

由于这些更改，已知影响 Keycloak 容器映像的 CVE 减少了 82%！

在 Keycloak 17.0.0 中，新的基于 Quarkus 的 Keycloak 发行版问世，而基于 WildFly 的发行版已弃用。在此版本中，WildFly 发行版已被移除，不再受支持。

如果您仍在使用 WildFly 发行版，我们强烈建议您尽快迁移到 Quarkus 发行版，有关详细信息，请参阅迁移指南。

我们很高兴地宣布，新的 Keycloak Operator（用于基于 Quarkus 的发行版）不再是预览功能。我们添加了新功能以及一些改进，其中一些导致了重大更改。

Keycloak 现在支持 OpenJDK 17，适用于服务器和适配器。

随着基于 WildFly 的发行版的移除，不再支持在 OpenJDK 8 上运行 Keycloak 服务器。我们还计划在 Keycloak 21 中移除对 Keycloak 适配器在 OpenJDK 8 上的支持。

从 Keycloak 22 开始，我们计划只支持最新的 OpenJDK LTS 版本，并争取尽快支持最新的 OpenJDK 版本。这意味着我们将在 Keycloak 22 中移除对 Keycloak 服务器的 OpenJDK 11 支持。

在此版本中，我们引入了两个额外的服务器选项，用于为前端请求和管理控制台设置基 URL。

更多详细信息可在配置主机名指南中找到。

在此版本中，我们对 kc.bat 做出了重要更改，以提供与在 Linux 上运行时相同的体验。

Keycloak 为开发目的附带了 H2 数据库驱动程序。由于它仅用于开发目的，因此不应在生产环境中使用。

在此版本中，H2 驱动程序已从 1.x 版本升级到 2.x 版本。

应用程序能够直接从 Keycloak 服务器加载 keycloak.js。由于以这种方式加载 JavaScript 库不被视为最佳实践，因此现在存在一个功能保护，可以禁用此功能。

在 Keycloak 21 中，我们将弃用此选项，并在 Keycloak 22 中计划完全移除从 Keycloak 服务器加载 keycloak.js 的功能。

在以前的版本中，显示给用户的 OTP 应用程序列表是在 Keycloak 中硬编码的。随着 OTP 应用程序 SPI 的引入，现在可以禁用内置的 OTP 应用程序，以及添加自定义 OTP 应用程序。

自定义身份提供程序现在可以设置在登录页面上使用的图标。感谢Klaus Betz，他恰好还维护着一个扩展到 Keycloak 的扩展，以支持使用 AppleID 登录。

现在对将 Keycloak 部署到 FIPS 140-2 启用的环境中提供了实验支持。将在发布后不久发布一篇博客文章，其中包含有关如何尝试它的详细信息。欢迎反馈！

感谢David Anderson，他为该功能贡献了一些部分。此外，感谢Sudeep Das 和Isaac Jensen 的初始原型工作，这些工作被用作灵感来源。

现在可以通过 Admin REST API 按属性搜索组。感谢Alice 的贡献。

现在，用户可以在帐户控制台中查看其组成员身份。感谢cgeorgilakis 的贡献。

从数据提供程序和模型中移除了一些已弃用的方法。如果尚未完成，则需要使用 Keycloak 19 版本的 Javadoc 中记录的相应替换来替换它们的使用。有关详细信息，请参阅升级指南。

一些 Keycloak OpenID Connect 适配器已达到生命周期结束，未包含在此版本中。

新管理控制台现已发布为默认管理控制台，旧控制台现已弃用。旧控制台将在 Keycloak 21 中删除。

Keycloak 存储正在发生变化，当前的存储虽然仍然受支持，但最终将被全新的实现所取代。这种变化带来了对云原生存储的更好支持、无停机能力，以及对除用户之外的其他领域实现自定义存储的更好支持。

这意味着当前存储支持的功能中的一些重大更改将成为遗留功能。遗留存储和新存储不能同时使用；一次只能激活一个存储。

最明显的改变是用户存储 SPI 与新的存储 API，即 Map 存储 API 不兼容。因此，用户存储 SPI 将随着遗留存储一起被弃用，并将移至名为 keycloak-model-legacy 的单独模块中。此更改影响多个区域，尤其是与用户联合和自定义用户提供程序相关的区域。

此外，API 已合并，因此存储层的详细信息将对 REST 服务层透明。具体而言，服务将无法区分缓存和非缓存对象，也无法专门访问联合存储与本地存储。

因此，必须审查通过 KeycloakSession 方法访问本地存储或缓存中对象的自定义扩展。有关详细信息，请参阅 升级指南。

在之前的版本中，我们添加了对 OIDC 注销的支持。此版本包含一些其他修复和改进。亮点包括

有关更多详细信息，请参阅 服务器管理指南。

有一个新的预览功能 UPDATE_EMAIL。启用此功能并在领域中启用相应标志后，将要求用户通过单击发送到其新电子邮件地址的链接来确认更新其电子邮件。有关更多详细信息，请参阅 服务器管理指南。感谢 Réda Housni Alaoui 的贡献。

在此版本中，我们已弃用 遗留 Keycloak 运算符 的 Keycloak CR 中的 podDisruptionBudget 字段。当运算符部署在 Kubernetes 版本 1.25 及更高版本上时，将忽略此可选字段。

作为解决方法，您可以在集群中手动创建 Pod Disruption Budget，例如

另请参阅 Kubernetes 文档。

从版本 19 开始，Keycloak 支持使用 GELF 将日志发送到 ELK、EFK 或 Graylog 等集中式日志记录解决方案。这些解决方案开箱即用。

您可以在 日志记录 指南中找到快速启动和运行的文档和示例。

在此版本中，我们正在引入一个全新的 Keycloak 运算符作为预览版。除了从头开始重写之外，遗留运算符的主要用户界面更改是使用的 Keycloak 发行版——新运算符使用 Quarkus 发行版的 Keycloak。因此，API（以自定义资源定义的形式）已更改。有关详细信息（包括安装和迁移说明），请参阅 与运算符相关的指南。

遗留运算符 将继续接收更新，直到 Keycloak 20，届时 Keycloak WildFly 发行版将达到 EOL。

新管理控制台现已发布为预览版，计划将其在 Keycloak 19 中成为默认管理控制台。

如果您发现新控制台有任何问题，或者对改进有任何建议，请通过 GitHub 讨论 告知我们。

Keycloak 现在支持逐步验证。此功能是在 Keycloak 17 中添加的，并在本版本中进行了进一步的改进。

有关更多详细信息，请参阅 服务器管理指南。

感谢 Cornelia Lahnsteiner 和 Georg Romstorfer 的贡献。

Keycloak 现在通过客户策略支持客户端密钥轮换。此功能现已作为预览功能提供，允许为机密客户端提供领域策略，允许同时使用多达两个密钥。

有关更多详细信息，请参阅 服务器管理指南。

恢复代码作为双因素身份验证的另一种方式，现已作为预览功能提供。

进行了一些修复和改进，以确保 Keycloak 现在完全符合所有 OpenID Connect 注销规范

有关更多详细信息，请参阅 服务器管理指南。

Keycloak 现在支持 WebAuthn 无标识身份验证。此功能允许 WebAuthn 安全密钥在身份验证期间识别用户，只要安全密钥支持本地密钥即可。有关更多详细信息，请参阅 服务器管理指南。感谢 Joaquim Fellmann 的贡献。

除了此之外，还有更多 WebAuthn 改进和修复。

upload-script 功能已被标记为已弃用很长时间。在此版本中，它已完全删除，不再受支持。

如果您正在使用以下任何功能

您应该考虑阅读此 文档 以了解如何仍然依赖这些功能，但将脚本部署到服务器而不是通过管理界面进行管理。

Keycloak 现在支持对用户可以拥有的会话数量进行限制。限制可以在领域级别或客户端级别设置。

有关更多详细信息，请参阅 服务器管理指南。感谢 Mauro de Wit 的贡献。

为了减轻滥用 SAML ECP 配置文件的风险，Keycloak 现在阻止所有未明确允许此流程的 SAML 客户端使用此流程。可以使用客户端配置中的 允许 ECP 流程 标志启用配置文件，请参阅 服务器管理指南。

此版本包含一些重要的错误修复。此外，我们要感谢Leandro José de Bortoli 对 FAPI 相关功能的贡献，例如 JARM 支持和 CIBA 的改进。

到目前为止，管理员可以通过 Keycloak 管理控制台以及通过 RESTful 管理 API 将脚本上传到服务器。

从现在起，默认情况下此功能被禁用，用户应该优先考虑直接将脚本部署到服务器。有关更多详细信息，请查看 Javascript 提供程序。

Keycloak 服务器已升级为在后台使用 WildFly 16。

感谢 tnorimat，Keycloak 现在支持使用 PS256 签名和验证令牌。

新的内置客户端范围，可以轻松地根据 Eclipse MicroProfile 规范颁发令牌。

Keycloak 服务器已升级为在后台使用 WildFly 15。

现在可以使用 Keycloak 完全保护 OpenShift 3.11，包括将服务帐户自动公开为 OAuth 客户端作为 Keycloak 的客户端。

这目前是技术预览功能。

到目前为止，Drools 策略默认启用。 但是现在，此策略类型仅作为技术预览功能提供，要使用它，您需要启用预览配置文件或相应的特性。 有关更多详细信息，请查看 授权服务指南。

DB2 支持已弃用一段时间。 在此版本中，我们已删除对 DB2 的所有支持。

引入了为“记住我”会话指定不同的会话空闲和最大超时时间的能力。 这使“记住我”会话可以比普通会话存活更长时间。

以前，大量组会导致管理控制台出现问题。 现在通过引入组分页来解决此问题。

过去，如果存在大量脱机会话，启动服务器可能需要很长时间。 现在，此启动时间已大大减少。

Keycloak 服务器已升级为在后台使用 WildFly 14。

Keycloak Gatekeeper 提供了一个安全代理，可用于保护应用程序和服务，而无需适配器。 它可以与您的应用程序一起安装在本地，也可以作为 OpenShift 或 Kubernetes 上的 sidecar 安装。

非常感谢 gambol99 为 Keycloak 贡献了这项工作。

签名 SPI 使得可以插入其他签名算法。 这使其他签名成为可能，并且还使更改签名生成方式成为可能。 例如，使用它允许使用 HSM 设备来签名令牌。

感谢 tnorimat 为此项工作的贡献了很大一部分。

与签名 SPI 一道，现在还支持其他签名算法。

Keycloak 现在支持 RS256、RS384、RS512、ES256、ES384、ES512、HS256、HS384 和 HS512。

椭圆曲线数字签名算法 (ES256/384/512) 非常有趣，因为它们提供与 RSA 签名类似的安全属性，但使用明显更少的 CPU。

HMAC (HS256/384/512) 在您不希望应用程序自己验证签名时也非常有用。 由于这些是对称签名，因此只有 Keycloak 才能验证签名，这需要应用程序使用令牌自省端点来验证令牌。

感谢 tnorimat 为此项工作的贡献了很大一部分。

现在可以为 OpenID Connect 客户端颁发的令牌指定受众。 适配器端还支持受众验证。

Keycloak 服务器已升级为在后台使用 WildFly 13。 这意味着底层依赖项的更新，以及配置的一些更改。 我们现在还支持 WildFly 13 适配器，并且我们为跨数据中心设置升级了底层的 JDG/Infinispan 服务器版本。 有关更多详细信息，请参阅 升级指南。

在 Node.js 中拥有授权服务支持，使用 Node.js 适配器进行细粒度集中授权变得非常容易。

主机名 SPI 引入了一种更灵活的方式来配置 Keycloak 的主机名。 有两个内置提供程序。 第一个是请求，它使用请求标头来确定主机名。 第二个是固定，它允许配置固定主机名。 后者确保只能使用有效的主机名，并且还允许内部应用程序通过备用 URL 调用 Keycloak。

有关更多详细信息，请参阅 服务器管理指南中的威胁缓解部分。

新添加的客户端验证器使用 X509 客户端证书和双向 TLS 来保护来自客户端的连接。 除此之外，Keycloak 服务器还验证客户端证书的主题 DN 字段。

对于此版本，我们改进了整个策略评估性能，提高了可靠性和吞吐量。 我们所做的主要更改与尝试通过避免不必要的流程并尽快收集决策来优化策略评估路径有关。 我们还在每个请求的基础上引入了策略决策缓存，避免了先前评估的策略的冗余决策。

我们还在研究其他缓存层，这将提供更好的体验。 请参阅 KEYCLOAK-7952。

在以前的版本中，权限始终使用标准 OAuth2 响应从服务器返回，其中包含访问令牌和刷新令牌。 在此版本中，客户端可以使用 response_mode 参数来指定服务器应如何响应授权请求。 此参数接受两个值

keycloak-nodejs-connect（NodeJS 的适配器）现在支持根据从服务器获取的决策来保护资源的构造。 新的构造允许用户使用细粒度的权限来保护其资源，如下所示

使用 Google 登录现在支持 hd 参数，以将 Google 登录限制为 Google 的特定托管域。 当在身份提供者中指定此参数时，来自不同域的任何登录都将被拒绝。

感谢 brushmate 的贡献。

大多数 HTML 输出已针对 HTML 标签进行了转义，但有一些地方允许使用 HTML 标签。 这些只是需要管理员访问权限才能更新值的地方。 即使更新此类字段需要管理员访问权限，我们也添加了一层额外的防御，现在正在转义不安全的元素，例如 <script>。

我们现在支持在 Cordova 的 JavaScript 适配器中使用浏览器选项卡和通用链接。 这使多个应用程序之间的 SSO 成为可能，并且提高了安全性。

感谢 gtudan 的贡献。

SAML 适配器现在可以支持多租户，就像 OpenID Connect 的内置适配器一样。

在以前的版本中，无法使用包含点 (.) 字符的声明名称在令牌中创建声明。 现在可以在配置中转义点字符，因此可以使用包含点字符的声明名称。

从 4.1 版本开始，Spring Boot 启动器将基于 Spring Boot 2 适配器。 如果您使用的是旧版本的 Spring Boot，则可以使用 keycloak-legacy-spring-boot-starter。

我们添加了对客户端范围的支持，它取代了客户端模板。 客户端范围是一种更灵活的方法，并且还提供了对 OAuth scope 参数的更好支持。

同意屏幕中与客户端范围相关的更改。 同意屏幕上的列表现在链接到客户端范围，而不是协议映射器和角色。

有关更多详细信息，请参阅文档和迁移指南。

我们现在已经部分实现了 OAuth 2.0 互信 TLS 客户端认证和证书绑定访问令牌 规范。更准确地说，我们支持证书绑定访问令牌。如果您的机密客户端能够使用双向 SSL，Keycloak 将能够将客户端证书的哈希值添加到为客户端发行的令牌中。目前，只有 Keycloak 本身会验证令牌哈希值（例如在 refresh token 请求期间）。我们计划为适配器添加支持。我们还计划添加对互信 TLS 客户端认证的支持。

感谢 tnorimat 的贡献。

现在可以通过常规提供程序部署将主题热部署到 Keycloak。我们还添加了对主题资源的支持，这允许添加额外的模板和资源，而无需创建主题。这对需要将其他页面添加到身份验证流程的自定义身份验证器很有用。

我们还添加了对覆盖特定客户端的主题的支持。如果这不足以满足您的需求，那么还有一种新的主题选择器 SPI，允许您实现自定义逻辑来选择主题。

我们添加了对使用 Instagram 登录的支持。感谢 hguerrero 的贡献。

以前，要在管理控制台中按 ID 搜索用户，您必须编辑 URL。现在可以直接在用户搜索字段中搜索。