第 8 章 配置身份验证

密码不会存储在明文中。在存储或验证之前，红帽使用标准哈希算法构建 Keycloak 哈希密码。PBKDF2 是唯一可用的内置和默认算法。有关如何添加您自己的哈希算法，请参阅 服务器开发人员指南。

指定红帽在存储或验证前的 Keycloak 哈希密码构建的次数。如果 pbkdf2-sha512 用作哈希算法，则默认值为 210,000。如果使用'HashAlgorithm' 策略明确设置了其他哈希算法，则默认散列迭代数可能会有所不同。例如，如果使用'pbkdf2-sha256' 算法，则默认为 600,000；如果 pbkdf2 算法（算法 pbkdf2 对应于 HMAC-SHA1，则默认为 1,300,000）。

红帽构建的 Keycloak 哈希密码，以确保可访问密码数据库的主机操作者无法通过反向工程读取密码。

密码字符串中所需的数字数。

密码字符串中所需的小写字母数。

密码字符串中所需的大写字母数。

密码字符串中所需的特殊字符数。

密码不能与用户名相同。

密码不能与用户的电子邮件地址相同。

密码必须与一个或多个定义的 Java 正则表达式模式匹配。有关这些表达式的语法，请参阅 Java 的正则表达式文档。

密码有效的天数。当天数已过期时，用户必须更改其密码。

用户不能使用密码。红帽构建的 Keycloak 存储了已用密码的历史记录。存储的旧密码数量可在红帽构建的 Keycloak 中进行配置。

密码不能位于黑名单文件中。

指定用户身份验证的最长期限（以秒为单位），用户可在不重新身份验证的情况下更新密码。值 0 表示用户必须始终重新验证其当前密码，然后才能更新密码。有关此策略的详情，请参阅 AIA 部分。