Changelog

Histórico de versões

Cada versão, com o que mudou e por quê. O Kotauth segue o versionamento semântico.

AdicionadoMelhoradoAlteradoCorrigidoSegurança
v1.19.2
22 de junho de 2026
Versão atual
Alterado

Dois arquivos compose na raiz (docker-compose.yml + docker-compose.prod.yml) substituem seis que ficavam em docker/

Alterado

Overlay de DB externo substituído por DB_URL no .env; overlay de demo substituído por KAUTH_DEMO_MODE=true no .env

Melhorado

Toda a orientação de deploy movida para a documentação; comentários removidos do Dockerfile, do Caddyfile e dos arquivos compose

v1.19.1
22 de junho de 2026
Adicionado

Injeção de segredos baseada em arquivo (convenção *_FILE) para KAUTH_SECRET_KEY, DB_PASSWORD, KAUTH_REDIS_PASSWORD, KAUTH_BOOTSTRAP_ADMIN_PASSWORD e KAUTH_BOOTSTRAP_API_KEYS

Adicionado

Lock de dependências do Gradle: o gradle.lockfile fixa o grafo de dependências resolvido, e o CI verifica a cada PR

Adicionado

Dependabot habilitado para alertas semanais sobre dependências do Gradle, GitHub Actions e imagens base do Docker

v1.19.0
19 de junho de 2026
Segurança

Cadeia HMAC sobre o log de auditoria: cada linha carrega prev_hash e row_hash via HMAC-SHA256 com chave KAUTH_SECRET_KEY; adulteração ou reordenação quebra a cadeia

Adicionado

Novo comando CLI verify-audit-chain detecta linhas de auditoria adulteradas ou reordenadas

Corrigido

Os detalhes do log de auditoria agora usam kotlinx.serialization, corrigindo a corrupção silenciosa de JSON causada por strings concatenadas manualmente

Corrigido

Introspecção de token com múltiplas audiências: AccessTokenClaims.aud ampliado para suportar o formato de array

v1.18.0
17 de junho de 2026
Adicionado

Resource Indicators da RFC 8707 para o grant client_credentials: tokens M2M direcionados por audiência com aud vinculado ao recurso solicitado

Adicionado

Registro de APIs (admin: /settings/apis): CRUD com escopo de workspace para identificadores de audiência

Adicionado

Tela "Authorized APIs" por cliente com autorização via checkbox e metadados de Discovery anunciando resource_indicators_supported: true

Segurança

Recursos desconhecidos ou não autorizados retornam invalid_target 400 da RFC 8707 em vez de um token silenciosamente abrangente

v1.17.0
17 de junho de 2026
Adicionado

Todos os 8 tipos de email transacional localizados: verificação, magic link, redefinição de senha, conta bloqueada, convite, senha alterada, teste de SMTP e OTP

Adicionado

Os templates de email são renderizados no defaultLocale do workspace com fallback para o inglês por chave

Segurança

Opt-in de proxy confiável (KAUTH_TRUSTED_PROXY): impede a evasão do rate limit por meio de spoofing de header

Segurança

Imposição do issuer no JWT: tokens emitidos por um tenant são rejeitados por outro

Segurança

Prevenção de open redirect: o redirect_uri pós-login é validado contra os valores registrados

Segurança

A comparação do code verifier PKCE S256 usa igualdade em tempo constante

Segurança

Header de resposta Server suprimido das respostas HTTP

Segurança

Normalização de erros de login com equalização de tempo impede a enumeração de usuários

v1.16.0
17 de junho de 2026
Segurança

O contêiner roda sem root (UID 10001) com no-new-privileges, cap_drop: ALL e sistema de arquivos somente leitura

Segurança

Proteção contra replay de TOTP: cada código é de uso único por enrollment; bloqueio após um número configurável de tentativas falhas

Corrigido

A validação das variáveis CSS de tema impede a injeção de valores arbitrários por meio das configurações do workspace

Melhorado

Tempo de erro de login equalizado entre os caminhos de verificação de senha e de TOTP

v1.15.0
15 de junho de 2026
Alterado

AdminService dividido em AuthManagementService, UserAdminService e WorkspaceAdminService

Alterado

UserSelfServiceService dividido em UserProfileService e UserSecurityService

Melhorado

Ratchet do Detekt reforçado: regras de complexidade e acoplamento impostas no CI

v1.14.1
12 de junho de 2026
Segurança

BREAKING: Credencial de admin padrão removida. Uma senha aleatória é gerada no primeiro boot e registrada uma única vez no stdout.

v1.14.0
11 de junho de 2026
Segurança

BREAKING: O endpoint de refresh token agora exige autenticação do cliente (client_id + client_secret para clientes confidenciais)

Segurança

BREAKING: Os endpoints de introspecção e revogação exigem autenticação do cliente conforme a RFC 7662 / RFC 7009

Adicionado

Detecção de replay de refresh-token com revogação completa da família de sessões em caso de reutilização

Adicionado

Bloqueio de conta com limite configurável e UI de desbloqueio para admin

v1.13.0
26 de maio de 2026
Adicionado

Login hospedado com Email OTP: autenticação sem senha em duas etapas no navegador (digite o email, receba um código de 6 dígitos, entre)

Adicionado

Alternância por tenant para o Email OTP via configurações do workspace

Adicionado

Primitivas de API de admin send-otp / verify-otp para onboarding programático sem senha

Segurança

Defesa de bloqueio entre desafios: limite de tentativas de OTP por tenant com postura de resposta em tempo constante

v1.12.1
26 de maio de 2026
Corrigido

Incompatibilidade no prefixo da chave de API de bootstrap: kauth_{slug}_ agora é aplicado de forma consistente na geração e na validação

Corrigido

Validação de redirect-URI reforçada: correspondência exata exigida, variantes com barra final rejeitadas

Melhorado

Especificação OpenAPI atualizada com os endpoints de envio/verificação de OTP e a documentação dos filtros do log de auditoria

Melhorado

Grupos de filtro do log de auditoria exibidos na UI de admin para uma navegação mais limpa por categoria de evento

v1.12.0
25 de maio de 2026
Adicionado

Papéis padrão do cliente: papéis por aplicação atribuídos automaticamente a usuários que se autorregistram por meio de uma aplicação OAuth

Adicionado

Card de Registration Defaults no console de admin com dropdown e tabela de gerenciamento de papéis

Adicionado

Proteção contra escalada de privilégios entre clientes: papéis de outras aplicações não podem ser atribuídos como padrão

v1.11.0
23 de maio de 2026
Adicionado

Branding de email transacional: nome da marca, cor, URL do logo, email de suporte e nome de exibição do remetente, por tenant

Adicionado

Todos os 8 templates de email transacional herdam o branding do workspace automaticamente

Adicionado

Card de editor de branding nas configurações do workspace com preview ao vivo

v1.10.0
12 de maio de 2026
Adicionado

Personificação de admin: aja como qualquer usuário sem conhecer a senha dele, com o claim act da RFC 8693 no token de sessão

Adicionado

Modelo de sessão dupla: a sessão de admin permanece ativa por baixo da sessão personificada

Segurança

Revogação em cascata: revogar a sessão de admin também encerra a sessão personificada

v1.9.0
8 de maio de 2026
Adicionado

Servidor MCP nativo de IA (@kotauth/mcp): 33 ferramentas em 8 domínios expostas via Model Context Protocol

Adicionado

Controle de acesso baseado em escopo em cada ferramenta MCP: a chave de API concede apenas as permissões que você escolher

Adicionado

Conexão com um único comando: npx @kotauth/mcp