Keycloak 24.0.5 版本發布
2024 年 6 月 4 日
要下載此版本,請前往 Keycloak 下載頁面。
重點
使用 client_secret_post 驗證的 PAR 用戶端安全性問題
此版本包含了修正一個重要的安全性問題,此問題影響某些使用 PAR (Pushed Authorization Request) 的 OIDC 機密用戶端。如果您使用 OIDC 機密用戶端搭配 PAR,且您使用基於 client_id 和 client_secret 的用戶端驗證,並將這些參數作為 HTTP 請求主體中的參數傳送 (OIDC 規格中指定的 client_secret_post 方法),強烈建議您在升級至此版本後輪換您的用戶端密碼。
升級
在升級之前,請參考 遷移指南 以獲取完整的變更列表。
所有已解決的問題
增強功能
- #29073 使用 cache.compute() 方法來改進替換重試迴圈
- #29280 更新 Keycloak 24 入門指南中的建立 Realm
錯誤修復
- #29129 JGroups 內部切換到 "trace" 時會產生日誌訊息 dist/quarkus
- #29206 LDAP 使用者建立回報錯誤,但使用者已建立 ldap
- #29314 在 Saml IDP 設定頁面中多次點擊「儲存」按鈕會損壞「AuthnContext ClassRefs」的值 admin/ui
- #29458 空的 CSP 標頭值會破壞安全篩選器 authentication
- #29471 Cypress 測試即使通過測試也會儲存影片 ci
- #29525 Maven clean 建置不會清除管理用戶端產生的檔案 ci
- #29554 Cypress 在影片錄製時失敗 ci
- #29625 資料庫驅動程式安裝範例在某些情況下可能會導致權限錯誤 docs