2.6. RH-SSO 7.1

对于 RH-SSO 7.0，只有一组键可以与一个域关联。这意味着，在更改密钥时，所有当前的 cookie 和令牌都会无效，所有用户都必须重新验证。对于 RH-SSO 7.1，增加了对一个域的多个密钥的支持。在任何给定时间，一个密钥集就是用于创建签名的有效集，但可使用多个密钥来验证签名。这意味着可以验证旧的 cookie 和令牌，然后使用新的签名刷新，从而允许用户在更改密钥时保持身份验证。另外，还有一些更改如何通过 Admin Console 和 Admin REST API 管理密钥；有关更多详情，请参阅《服务器管理指南》中的 Realm Keys。

要允许无缝密钥轮转，您必须从客户端适配器中删除硬编码密钥。只要未指定域密钥，客户端适配器将自动从服务器检索密钥。客户端适配器还会在密钥轮转时自动检索新密钥。

对于 RH-SSO 7.0，在与客户端的有效重定向 URI 匹配时，查询参数将被忽略。对于 RH-SSO 7.1，查询参数不再忽略。如果您需要在重定向 URI 中包含查询参数，您必须在客户端的有效重定向 URI 中指定查询参数（例如 https://hostname/app/login?foo=bar）或使用通配符（例如 https://hostname/app/login/*）。在有效的重定向 URI 中也不再允许片段（即 https://hostname/app#fragment）。

对于 RH-SSO 7.1，身份提供程序无法设置为默认的身份验证提供程序。要自动重定向到 RH-SSO 7.1 的身份提供商，现在您必须配置身份提供程序重定向器。如需更多信息，请参阅 《 服务器管理指南》 中的默认身份提供商。如果您之前设置了默认的身份验证提供程序选项，则当服务器升级到 RH-SSO 7.1 时，这个值会自动用作身份提供程序重定向的值。

对于 RH-SSO 7.0，如果未指定 maxResults 查询参数，则 Admin REST API 中的分页端点会返回所有结果。当返回大量结果（例如，用户）时，这可能会导致临时高负载和请求超时的问题。对于 RH-SSO 7.1，如果没有指定 maxResults，则返回最多 100 个结果。您可以通过将 maxResults 指定为 -1 来返回所有结果。

对于 RH-SSO 7.0，服务器配置在 keycloak-server.json 文件和 standalone/domain.xml 或 domain.xml 文件之间分割。对于 RH-SSO 7.1，keycloak-server.json 文件已被删除，所有服务器配置都通过 standalone.xml 或 domain.xml 文件完成。RH-SSO 7.1 的升级流程会自动将服务器配置从 keycloak-server.json 文件迁移到 standalone.xml 或 domain.xml 文件。

对于 RH-SSO 7.1，SAML 断言中的密钥和文档现在使用 RSA-OAEP 加密方案进行加密。要使用加密的断言，请确保您的服务供应商支持这个加密方案。如果您的服务提供商不支持 RSA-OAEP，则可将 RH-SSO 配置为使用旧的 RSA-v1.5 加密方案，方法是使用系统属性"keycloak.saml.key_trans.rsa_v1.5" 的服务器。如果您这样做，应该尽快升级您的服务提供商，以便可以恢复到更安全的 RSA-OAEP 加密方案。