Keycloak 23.0.0 发布

2023年11月23日

这篇文章发布于一年多以前。博客文章中的内容可能已过时。

要下载此版本，请访问 Keycloak 下载。

亮点

OpenID Connect / OAuth 2.0

FAPI 2 草案支持

Keycloak 新增了客户端配置 fapi-2-security-profile 和 fapi-2-message-signing，以确保 Keycloak 在与您的客户端通信时强制遵守最新的 FAPI 2 草案规范。感谢 Takashi Norimatsu 的贡献。

DPoP 预览支持

Keycloak 提供了对 OAuth 2.0 Demonstrating Proof-of-Possession at the Application Layer (DPoP) 的预览支持。感谢 Takashi Norimatsu 和 Dmitry Telegin 的贡献。

更灵活的自省端点

在之前的版本中，自省端点会自动返回访问令牌中可用的大部分声明。现在，在大多数协议映射器上有一个新的开关 Add to token introspection。此新增功能提供了更大的灵活性，因为自省端点可以返回与访问令牌不同的声明。这是朝着“轻量级访问令牌”支持迈出的第一步，因为访问令牌可以省略许多仍然由自省端点返回的声明。从以前的版本迁移时，自省端点应返回与访问令牌返回的相同声明，因此迁移后默认行为应基本相同。感谢 Shigeyuki Kabano 的贡献。

OAuth 2.0 设备授权许可流程的特性标志

OAuth 2.0 设备授权许可流程现在包含一个特性标志，因此您可以轻松禁用此功能。此功能默认仍处于启用状态。感谢 Thomas Darimont 的贡献。

身份验证

Passkeys 支持

Keycloak 提供了对 Passkeys 的预览支持。

Passkey 注册和身份验证通过 WebAuthn 的功能实现。因此，Keycloak 用户可以通过现有的 WebAuthn 注册和身份验证进行 passkey 注册和身份验证。

同步的 passkey 和设备绑定的 passkey 都可以用于同设备和跨设备身份验证。但是，passkey 操作的成功与否取决于用户的环境。请确保在环境中哪些操作可以成功。感谢 Takashi Norimatsu 的贡献，并感谢 Thomas Darimont 在此功能的想法和测试方面提供的帮助。

WebAuthn 改进

WebAuthn 策略现在包含一个新字段：Extra Origins。它提供了与非 Web 平台（例如，原生移动应用程序）更好的互操作性。感谢 Charley Wu 的贡献。

您已登录

之前存在一个臭名昭著的问题，即当用户在多个浏览器选项卡中打开登录页面并在其中一个选项卡中进行身份验证后，尝试在后续浏览器选项卡中进行身份验证时会打开 您已登录 页面。现在这种情况得到了改进，因为在第一个浏览器选项卡进行身份验证后，其他浏览器选项卡也会自动进行身份验证。仍然存在行为并非 100% 正确的极端情况，例如身份验证会话过期的情况，在这种情况下，身份验证会话仅在一个浏览器选项卡中重新启动，因此其他浏览器选项卡不会自动跟随登录。因此，我们仍计划在此领域进行改进。

指定最大身份验证时间的密码策略

Keycloak 支持新的密码策略，该策略允许指定用户在无需重新身份验证的情况下更改密码的最大身份验证时长。当此密码策略设置为 0 时，用户将被要求重新进行身份验证才能在帐户控制台或通过其他方式更改密码。您也可以指定低于或高于默认值 5 分钟的值。感谢 Thomas Darimont 的贡献。

部署

多站点主动-被动部署的预览支持

对于某些环境而言，将 Keycloak 部署到多个独立的站点对于提供高可用性和从故障中快速恢复至关重要。此版本增加了对 Keycloak 主动-被动部署的预览支持。

在测试和验证可以维持负载并从故障场景中恢复的设置方面，我们投入了大量工作。要开始使用，请使用高可用性指南，其中还包括将高可用性 Keycloak 部署到云环境的全面蓝图。

适配器

OpenID Connect WildFly 和 JBoss EAP

先前版本中已弃用的 WildFly 和 JBoss EAP 的 OpenID Connect 适配器已在此版本中删除。它已被 Elytron OIDC 适配器取代，该适配器包含在 WildFly 中，并提供从 Keycloak 适配器的无缝迁移。

SAML WildFly 和 JBoss EAP

WildFly 和 JBoss EAP 的 SAML 适配器不再以 ZIP 下载形式分发，而是以 Galleon 功能包的形式分发，使其更易于安装和更无缝。

有关详细信息，请参阅保护应用程序和服务指南。

服务器分发

负载削减支持

Keycloak 现在具有 http-max-queued-requests 选项，允许在高负载下正确拒绝传入的请求。有关详细信息，请参阅生产指南。

RESTEasy Reactive

Keycloak 已切换到 RESTEasy Reactive。使用 quarkus-resteasy-reactive 的应用程序仍然可以从更快的启动时间、运行时性能和内存占用中受益，即使不使用响应式样式/语义也是如此。直接依赖于 JAX-RS API 的 SPI 应该与此更改兼容。依赖于 RESTEasy Classic（包括 ResteasyClientBuilder）的 SPI 将不兼容，并且需要更新，对于 JAX-RS API（如 Jersey）的其他实现也是如此。

用户配置文件

声明式用户配置文件在此版本中仍为预览功能，但我们正在努力将其升级为受支持的功能。欢迎提供反馈。如果您发现任何问题或有任何改进的想法，欢迎创建 Github issue，最好带有标签 area/user-profile。还建议查看升级指南，其中包含此版本迁移的更改，以获取有关迁移的其他信息。

组可扩展性

对于具有许多组和子组的用例，围绕组搜索的性能得到了改进。进行了一些改进，允许分页查找子组。感谢 Alice 的贡献。

主题

主题的本地化文件默认为 UTF-8 编码

主题的消息属性文件现在以 UTF-8 编码读取，并自动回退到 ISO-8859-1 编码。

有关更多详细信息，请参阅迁移指南。

存储

移除 Map Store

Map Store 在之前的版本中一直是一项实验性功能。从此版本开始，它将被删除，用户应继续使用当前的 JPA 存储。有关详细信息，请参阅迁移指南。

升级

在升级之前，请参阅迁移指南，以获取完整的更改列表。

所有已解决的问题

新功能

#23155 [WebAuthn] 源验证不支持非 Web 平台 core

增强功能

#431 移除 Wildfly/EAP OIDC 和 SAML 适配器下载 web
#505 Quickstarts - Wildfly 升级和 README 清理 quickstarts
#510 SAML quickstart - 通过 Galleon 配置 SAML 适配器 quickstarts
#9318 用户配置文件配置 API 类型不正确 docs
#10128 改进失败的测试行为 operator
#10620 电子邮件地址中的国际化域名 user-profile
#10713 更新服务器以使用 RESTEasy Reactive
#10803 在 JDBC 存储中持久化会话，无需使用外部 infinispan 集群 storage
#11668 声明式用户配置文件：帐户管理控制台中的怪异行为 user-profile
#12406 在身份验证期间移除“您已登录” authentication
#14009 REST 导入时未使用 CreatedTimestamp
#14165 无法刷新 RPT 令牌 authorization-services
#14400 向 Keycloak CR 添加代理选项 operator
#15018 围绕代理和主机名配置的增强功能
#15072 允许为属性设置帮助文本 user-profile
#15109 重构 Operator 使用的 patch-sources.sh operator
#17258 列 'DETAILS_JSON' 的数据过长 storage
#20343 消息捆绑包未包含在 realm 导出中 import-export
#20584 FAPI 2.0 安全配置文件 - 支持 RFC 9207 OAuth 2.0 授权服务器颁发者标识
#20695 在 Microsoft 身份提供程序中添加对单租户的支持
#20794 我们可以简化 TokenManager.getRefreshExpiration() 和 TokenManager.getOfflineExpiration() 吗？ oidc
#20884 [Admin Console v2] 权限屏幕上缺少策略创建 admin/ui
#21073 身份提供程序：管理 REST API 中的分页
#21154 允许自定义身份提供程序的现有映射器 identity-brokering
#21181 将 FAPI 2.0 安全配置文件增强为客户端策略的默认配置文件
#21182 增强令牌管理器的可插拔功能
#21183 更灵活的自省端点 oidc
#21200 DPoP 支持第一阶段
#21444 将 `client_id` 与 OIDC IdP 一起使用 `private_key_jwt` 时设置 identity-brokering
#21945 FAPI 2 的发行说明
#22034 Keycloak，javascript 库不使用 escape() 函数 adapter/javascript
#22215 UserInfo 端点中的 DPoP 验证 oidc
#22318 允许覆盖帐户控制台资源以实现完全控制和向后兼容性
#22372 扩展组提供程序以允许分页查找子组 storage
#22725 不要为部署初始化屏障构建项 dist/quarkus
#22868 澄清 LDAP 提供程序的选项“验证密码策略”的工具提示 admin/ui
#23194 在“条件 - 用户属性”执行中添加正则表达式支持 authentication
#23340 为 RESTEasy reactive 实现负载削减
#23527 禁用用户配置文件并丢失以前的配置时，更好的可用性 user-profile
#23891 为 OAuth 2.0 设备授权许可流程添加特性标志 oidc
#24024 注册表单中的用户配置文件调整 user-profile
#24072 与身份代理相关的许多参数在使用 `providerAlias` 时使用了 `providerId` identity-brokering
#24273 为用户配置文件电子邮件验证器添加本地部分最大长度的属性 user-profile
#24278 瞬态用户：文档 core
#24387 将一些 UserProfile 和 Validation 类移动到 keycloak-server-spi 中 user-profile
#24494 瞬态用户：同意 core
#24535 从 keycloak-services 移动 UPConfig 和相关类 user-profile
#24844 将高可用性指南添加到 Keycloak 的主存储库
#24912 将 Galleon 层元数据添加到 SAML Galleon 功能包 adapter/jee-saml

错误

#468 无法构建 quickstarts
#503 自动化 Keycloak 版本替换 quickstarts
#508 set-version 脚本未更新 js 和 nodejs quickstarts 中的 package(-lock).json 文件 quickstarts
#515 [Keycloak Quickstarts CI 失败] 由于无法定位元素：{"method":"css selector","selector":"#username"} 异常，loginToAdminConsole 方法在 ArquillianSysoutEventListenerProviderTest.testEventListenerOutput 中失败 quickstarts
#8939 PAR 无法为公共客户端进行身份验证 oidc
#9004 未使用 OpenID Connect v1.0 身份提供程序属性导入器映射器导入访问令牌声明 oidc
#10710 Rollup.js 抱怨在 keycloak.js 的依赖项之一中使用 eval adapter/javascript
#11699 在高负载下，DefaultBruteForceProtector 阻止整个系统 authentication
#12062 声明式用户配置文件导出 user-profile
#12171 从 realm 导出数据时，授权行为不一致 authorization-services
#14134 [keycloak 18] 无法在部分导入中导入具有正确 ID 的用户 admin/api
#16379 身份验证流程名称中括号处理不一致 admin/api
#16526 令牌自省响应不遵循 RFC6479 “scope” 参数格式 oidc
#19093 创建新用户页面需要管理员用户具有“管理 Realm”角色才能在创建新用户页面中看到用户配置文件属性 admin/api
#19125 kcadm 不更新 defaultGroups docs
#19154 API 文档链接不起作用 docs
#19555 当启用 update-email 功能时，连续两次更改电子邮件会导致不直观的行为 authentication
#20135 在事件部分中搜索多种类型时出现错误 admin/client-js
#20218 角色映射器在不是多值时必须返回单个值 oidc
#20316 电子邮件模式不合规 account/api
#20453 管理 UI 在 300 个 realm 的情况下非常缓慢 admin/api
#20537 [声明式用户配置文件] OIDCAttributeMapperHelper 为可选用户属性抛出 NumberFormatException user-profile
#20763 不稳定的测试：org.keycloak.testsuite.admin.authentication.FlowTest#testAddRemoveFlow ci
#20830 令牌交换不适用于 KC 21.1.1 中的 OpenID Connect v1.0 提供程序 token-exchange
#20852 [声明式用户配置文件] 属性默认创建为必需，但开关设置为“非必需” user-profile
#20885 密钥长度限制为 4000 个字符 storage
#21010 当 realm 包含超过约 4000 个客户端时，无法显示“身份验证流程”屏幕 storage
#21123 getDefaultRequiredActionCaseInsensitively 中的 NPE admin/api
#21236 每当触发注销事件时，Keycloak 事件 clientId 为空。 core
#21555 由于 realm 下拉列表而列出 realm admin/ui
#21660 错误地将时间戳转换为日期 account/ui
#21779 不稳定的测试：org.keycloak.testsuite.script.DeployedScriptAuthenticatorTest#loginShouldWorkWithScriptAuthenticator authentication
#21780 不稳定的测试：org.keycloak.testsuite.script.DeployedScriptAuthenticatorTest#loginShouldFailWithScriptAuthenticator authentication
#21797 包含尾部反斜杠的 RDN 的 DN 错误地导入到 Keycloak 中 ldap
#21805 缺少标签帐户控制台 account/ui
#21818 包含尾部空格的 RDN 的 DN 错误地导入到 Keycloak 中 ldap
#21830 Operator 不会将系统属性 'jgroups.dns.query' 传递给 Keycloak，而是传递环境变量，从而导致日志中出现警告 operator
#22143 OCP 中的 WatchedSecretsTest.testSecretChangesArePropagated 错误 ci
#22177 使用 JWT 验证客户端时缺少 client_id 验证匹配
#22191 刷新令牌请求时验证 iss oidc
#22332 在基于资源的权限上选择资源时出错 admin/ui
#22337 如果在参数中使用分号之类的字符，kc.sh 会出错 docs
#22375 可能的 NullPointerException core
#22395 当配置 SPI 信任存储且 hostnameVerification 设置为 'ANY' 时，电子邮件发送失败 core
#22432 Admin UI 未使用 inputOptionLabels admin/ui
#22583 未呈现细粒度权限 account/ui
#22638 SAML AdvancedAttributeToRoleMapper 不允许在同一数组属性上进行谓词评估 saml
#22814 使用 "q" 参数的用户搜索忽略长度为 1 的键并返回所有用户 admin/api
#22818 Account UI v3 未使用 inputOptionLabels account/ui
#22890 Keycloak 22.0.1：第二次保存时编辑身份提供程序映射器中的 NPE admin/api
#22937 FormAction 中 ProviderConfigProperty.MULTIVALUED_LIST_TYPE 不起作用 admin/ui
#22988 realm 缓存失效后出现缓存雪崩 infinispan
#23044 文档：server_admin/topics/sessions/transient.adoc authentication
#23128 联合脚本 federation-sssd-setup.sh 中的正则表达式缺陷 dist/quarkus
#23173 crypto/elytron 包有多个错误 core
#23180 用户配置文件 admin-ui 中的 TypeError admin/ui
#23253 运行 Quarkus 开发模式时无法识别 CLI 参数 dist/quarkus
#23255 saml 身份提供程序中缺少多个帮助文本消息 admin/ui
#23404 当 realm 包含超过约 4000 个客户端时，无法将客户端角色分配给用户 storage
#23444 在最近切换到 resteasy-reactive 后，我们无法使用 resteasy-classic 或 jersey jax-rs 客户端。 dependencies
#23582 加入组屏幕不显示没有过滤器的子组 admin/ui
#23616 .ftl 文件中的无效标签 user-profile
#23692 客户端名称中出现 $ 符号时，生成访问令牌异常 core
#23733 OpenAPI 规范与管理 API 不匹配 admin/api
#23753 GzipResourceEncodingProvider 针对路径遍历的保护不足 core
#23789 在设置/移除注释之前无法创建属性组 user-profile
#23795 TokenManager.java 中的拼写错误 oidc
#23970 当导出 realm 时，Keycloak 不导出/导入 userprofile 数据 user-profile
#24032 如果存在两个具有相同键的属性，则不会保存组属性 admin/ui
#24035 Admin UI：组详细信息页面未通过组列表下拉操作更新 admin/ui
#24067 重复的属性组显示在管理 UI 中 UserProfile 的列表中 admin/ui
#24077 如果用户在禁用用户配置文件和启用验证配置文件的情况下未添加 firstName 和 lastName，则会发生内部服务器错误 user-profile
#24096 记录或避免 UserSessionModel 中的重大更改 core
#24160 HTTP/2 - POST 表单数据的最后一个参数在某些配置中包含 0x00 字节。 core
#24183 创建用户时现在显示用户名，并且不允许编辑用户名 user-profile
#24187 Admin UI 组视图显示先前查看的组的属性 admin/ui
#24293 当 LDAP 服务器离线时，b.map 不是函数错误 core
#24420 用户配置文件在 keycloak 22.0.5 中的行为不同 user-profile
#24453 启用用户配置文件后，电子邮件已验证复选框不再可见 admin/ui
#24455 使用 TransientUser 登录时出现 NPE storage
#24458 当用户存储提供程序不可用时，不友好的错误消息 admin/ui
#24487 在“忘记密码”流程中，对于隐藏字段，显示/隐藏明文密码按钮可见 login/ui
#24547 DPoP 在 OIDC Well Known Endpoint 上通告，即使 DPoP 功能未启用（预览功能） oidc
#24551 `./kc.sh tools completion` 命令无法正确识别 admin/cli
#24672 Basic auth 不符合 RFC 2617 标准 authentication
#24697 当用户的配置文件中存在一些对他不可见的无效属性时，用户无法更新配置文件 user-profile
#24766 使用 JDBC over Infinispan 时，非功能性会话持久性 infinispan
#24792 如果 redirect_uri 包含大写字母，则无效 authentication
#24970 `jwt-decode` 正在捆绑到 Keycloak JS 中 admin/client-js