[RFC] 122 - 桌面端 OAuth 鉴权机制优化 #8449

arvinxx · 2025-07-15T12:26:46Z

arvinxx
Jul 15, 2025
Maintainer

本 RFC 提议修改现有的 OIDC Provider 配置，将其生成的 access_token 从默认的 Opaque Token (不透明令牌) 格式更改为 JWT (JSON Web Token) 格式。此举旨在解决 Opaque Token 验证时必须访问数据库所带来的性能开销，并确保令牌验证逻辑能够兼容 Edge Runtimes (如 Vercel Edge Functions, Cloudflare Workers)，从而提升系统性能、降低服务间耦合度，并解锁在边缘计算环境部署的能力。

2. 背景与动机 (Background & Motivation)

当前状态:
我们的 OIDC Provider (基于 oidc-provider 库) 当前生成的 access_token 是一个短的、无意义的随机字符串（即 Opaque Token）。为了验证这个令牌，资源服务器必须回调 OIDC Provider 的 introspection 端点，该端点进而需要查询数据库以获取令牌的元数据和有效性。

存在的问题:

数据库依赖与性能开销: 验证每一个 Opaque Token 都需要一次数据库读取操作。在高并发场景下，这会给数据库带来巨大压力，成为整个系统的性能瓶颈。
不兼容 Edge Runtimes: 我们的目标之一是在 Edge Runtimes 中部署部分或全部资源服务器。Edge 环境通常限制或不允许直接的 TCP 连接和传统的数据库驱动，因此无法执行验证 Opaque Token 所需的数据库查询。这从根本上阻碍了我们的Edge Runtime 的集成。
紧耦合: 资源服务器的可用性强依赖于 OIDC Provider 及其数据库的可用性。如果数据库延迟过高或不可用，所有 API 将无法验证令牌，导致服务中断。

目标状态:
access_token 应为自包含的 JWT。资源服务器（无论部署在 Serverless 还是 Edge）只需获取一次 OIDC Provider 的公钥（通过 JWKS 端点），即可在本地、无数据库依赖地对 JWT 进行签名和声明（claims）的验证。

3. 方案设计 (Proposed Solution)

我们将采用 node-oidc-provider 库推荐的、符合 RFC 8707 标准的 Resource Indicators 特性来实现此目标。

核心思路是：将我们的核心 API 定义为一个“资源（Resource）”，并配置 OIDC Provider，使其在为该资源颁发 access_token 时，强制使用 JWT 格式。

这将通过两处关键配置的协同工作来完成：

在 OIDC Provider 配置中启用并定义 resourceIndicators 行为。
在客户端（Client）定义中，声明其默认请求的资源。

3.1. OIDC Provider 配置 (`createOIDCProvider.ts`)

import { errors } from 'oidc-provider';

// 1. 定义 API 资源的唯一标识符 (Audience)
const API_AUDIENCE = 'urn:lobehub:chat'; // 请替换为实际的 API 标识符

// ... 在 configuration 对象中 ...
features: {
  // ... 其他特性保持不变
  resourceIndicators: {
    enabled: true,
    getResourceServerInfo: (ctx, resourceIndicator, client) => {
      if (resourceIndicator === API_AUDIENCE) {
        return {
          accessTokenFormat: 'jwt',
          audience: API_AUDIENCE,
          jwt: {
            sign: { alg: 'RS256' },
          },
          scope: [...ctx.oidc.grant.scopes].join(' '),
        };
      }
      throw new errors.InvalidTarget('Resource not found');
    },
    defaultResource: (ctx) => API_AUDIENCE,
  },
},
// ...

3.2. 客户端定义 (`./config.ts` 或类似文件)

// in ./config.ts

const API_AUDIENCE = 'urn:lobehub:chat';

export const defaultClients = [
  {
    client_id: 'lobehub-desktop',
    // ... 其他客户端属性 ...
    resource: API_AUDIENCE,
  },
];

进展

✨ feat: refactor desktop oauth and use JWTs token to support remote chat #8446

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Uh oh!

[RFC] 122 - 桌面端 OAuth 鉴权机制优化 #8449

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Replies: 0 comments

Select a reply

Uh oh!

Uh oh!

[RFC] 122 - 桌面端 OAuth 鉴权机制优化 #8449

Uh oh!

Uh oh!

arvinxx Jul 15, 2025 Maintainer

2. 背景与动机 (Background & Motivation)

3. 方案设计 (Proposed Solution)

3.1. OIDC Provider 配置 (createOIDCProvider.ts)

3.2. 客户端定义 (./config.ts 或类似文件)

进展

Replies: 0 comments

arvinxx
Jul 15, 2025
Maintainer

3.1. OIDC Provider 配置 (`createOIDCProvider.ts`)

3.2. 客户端定义 (`./config.ts` 或类似文件)