OAuth2 Proxy v7.8.0 版本发布：增强身份验证与系统集成能力

OAuth2 Proxy 是一个流行的开源反向代理和身份验证服务，主要用于为 Web 应用和服务提供 OAuth2 认证层。它充当应用程序和 OAuth2 提供商之间的中间层，简化了身份验证流程的实现，同时提供了额外的安全保护层。

核心功能更新

Microsoft Entra ID 支持

本次 v7.8.0 版本最重要的更新是引入了对 Microsoft Entra ID（原 Azure Active Directory）的全面支持。这一改进包括：

1. Azure Workload Identity 集成：允许工作负载（如应用程序或服务）在不使用传统凭据的情况下安全地访问 Azure 资源，提高了云原生环境下的安全性。

2. 完整的端到端测试：得益于微软的赞助，开发团队能够使用 Azure 信用额度进行全面的测试验证，确保与 Entra ID 集成的稳定性和可靠性。

3. 旧版 Azure AD 弃用：随着新支持的加入，旧版 Azure AD 提供程序已被标记为弃用，建议用户迁移到新的 Entra ID 集成方案。

静态本地 JWKS 文件支持

新版本增加了对静态本地 JWKS（JSON Web Key Set）文件的支持，这一特性：

• 允许在离线或受限网络环境中使用预定义的公钥集进行令牌验证
• 提高了系统在无法访问外部密钥服务器时的可用性
• 为安全审计提供了更可控的密钥管理方式

systemd 套接字支持

v7.8.0 版本新增了对 systemd 套接字的原生支持，这一改进：

• 使 OAuth2 Proxy 能够更好地集成到基于 systemd 的 Linux 系统中
• 支持套接字激活，按需启动服务，减少资源占用
• 提供了更符合现代 Linux 系统管理标准的部署方式

安全增强与问题修复

本次发布修复了多个安全问题，包括：

1. CVE-2024-45338：一个已公开的安全问题，可能影响某些配置下的代理行为。

2. 代码验证器改进：更新了 code_verifier 的实现，采用了更安全的推荐方法，增强了 OAuth2 PKCE 流程的安全性。

3. IP 头处理增强：新增了对 CF-Connecting-IP 和 X-Envoy-External-Address 等头部字段的支持，改进了在复杂网络环境下的真实客户端 IP 识别能力。

其他改进与优化

1. WebSocket 路径重写修复：解决了在某些配置下 WebSocket 连接路径重写不正确的问题。

2. Docker 镜像标签优化：为 Docker 镜像添加了 OpenContainer 标准标签，提高了容器化部署的标准化程度。

3. 文档完善：针对 OIDC 提供程序的范围配置添加了更多测试用例和说明文档，特别是关于未明确指定范围时自动包含 groups 范围的行为。

升级建议

对于现有用户，建议评估以下升级路径：

1. 使用 Azure AD 的用户应计划迁移到新的 Entra ID 集成方案。
2. 需要离线验证能力的用户可以考虑配置静态 JWKS 文件支持。
3. 运行在 systemd 系统上的实例可以评估套接字激活带来的资源优化。

新版本通过多项安全修复和功能增强，进一步提升了 OAuth2 Proxy 作为身份验证网关的可靠性和灵活性，是生产环境升级的推荐选择。