[RFC] 107 - OAuth 2.0 / OIDC 授权

[arvinxx]

1. 摘要 (Abstract)

本 RFC 提议在 LobeChat Web 服务端引入基于 oidc-provider 库的 OAuth 2.0 / OIDC (OpenID Connect) 授权服务器。其主要目的是为 LobeChat 的第一方客户端（如桌面应用、未来可能的移动应用等）提供一个安全、标准的授权机制，以访问用户数据和后端 API（例如用于数据同步）。此服务将与现有的用户认证体系（如 Clerk, NextAuth.js）紧密集成，利用已登录的用户会话来处理授权请求。该实现将遵循行业最佳实践，强制使用 PKCE，支持 Refresh Token，并为未来构建 LobeChat OpenAPI 生态系统奠定认证与授权基础。

2. 动机 (Motivation)

随着 LobeChat 生态扩展到桌面端等多种形态，需要一个比简单 Session 或 API Key 更健壮、更安全的机制来允许这些客户端代表用户访问其数据。直接在客户端处理用户主凭证（如密码）或长期有效的 Token 存在显著安全风险。引入 OAuth 2.0 / OIDC 授权服务器可以解决这些问题：

1. 标准化授权委托: 提供行业标准的流程，让用户可以安全地授权客户端访问其资源，而无需共享主凭证。
2. 提升安全性:
   • 通过 PKCE 保护公共客户端（如桌面应用），防止授权码被截获滥用。
   • 使用短期 Access Token 限制令牌泄露风险。
   • 通过 Refresh Token 机制安全地维持客户端的长期访问能力，并支持轮换等高级安全策略。
3. 集成现有认证: 无需重新实现用户登录逻辑，可直接利用 Clerk/NextAuth 等提供的用户认证结果。
4. 精细化权限控制: 通过 Scopes 机制，可以明确定义和授予客户端所需的最小权限。
5. 未来扩展性: 为支持更多第一方客户端、开放 API 给第三方开发者提供统一、标准的认证授权入口。
6. 利用成熟库: oidc-provider 是一个功能完善、社区活跃的 Node.js OIDC 库，能大幅简化开发和维护工作，并确保协议实现的准确性和安全性。

3. 提案 (Proposal) - Web 服务端实现细节

3.1. 技术选型

• 核心库: oidc-provider (Node.js OIDC/OAuth2 Server Library)
• Web 框架集成: 集成到现有的 LobeChat Web 后端框架（如 Next.js API Routes 等）。
• 数据库适配器 (Adapter): 需要实现或配置一个 oidc-provider Adapter，用于将 OIDC 状态（Codes, Tokens, Sessions 等）持久化到 LobeChat 使用的数据库中（ PostgreSQL via Drizzle）。

3.2. oidc-provider 核心配置

在 LobeChat 后端初始化时配置 oidc-provider 实例：

import Provider from 'oidc-provider';

const configuration = {
  // 1. 客户端配置 (示例：桌面端)
  clients: [
    {
      client_id: 'lobe-chat-desktop',
      client_secret: null, // 公共客户端，无密钥
      redirect_uris: ['lobe-chat-desktop://auth/callback'], // 桌面端注册的自定义协议回调
      response_types: ['code'], // 仅支持授权码流程
      grant_types: ['authorization_code', 'refresh_token'], // 支持授权码获取令牌和刷新令牌
      token_endpoint_auth_method: 'none', // 公共客户端，令牌端点无需认证
      // application_type: 'native', // 可选，指明是原生应用
    },
    // 未来可添加其他客户端，如 mobile, browser-plugin, third-party-app 等
  ],

  // 2. PKCE 配置
  pkce: {
    required: true, // 强制所有客户端使用 PKCE
  },

  // 3. Scopes 定义
  scopes: [
    'openid', // OIDC 必须
    'profile', // 请求用户信息（姓名、头像等）
    'email', // 请求用户邮箱
    'offline_access', // 请求 Refresh Token
    'sync:read', // 自定义 Scope：读取同步数据权限
    'sync:write', // 自定义 Scope：写入同步数据权限
    // 未来可根据 API 功能添加更多 Scopes
  ],

  // 4. Claims 定义 (与 Scopes 关联)
  claims: {
    openid: ['sub'], // subject (用户唯一标识)
    profile: ['name', 'picture'],
    email: ['email', 'email_verified'],
    // 可定义自定义 claim
  },

  // 5. 特性配置
  features: {
    devInteractions: { enabled: process.env.NODE_ENV !== 'production' }, // 开发模式下简化交互调试
    clientCredentials: { enabled: false }, // 初始可禁用，未来 OpenAPI 可启用
    introspection: { enabled: true }, // 启用令牌自省端点
    revocation: { enabled: true }, // 启用令牌撤销端点
    refreshTokenRotation: { enabled: true, rotation: 'rotateAndConsume' }, // 启用并配置 Refresh Token 轮换
    // deviceFlow: { enabled: false }, // 初始可禁用，按需启用设备流程
    // resourceIndicators: { enabled: false }, // 按需启用资源指示器以实现更细粒度的 API 授权
  },

  // 6. 密钥配置 (必须配置，用于签名和加密)
  jwks: {
    // 提供 JWK Set (JSON Web Key Set)，用于签名 ID Token 等
    // 强烈建议使用非对称加密（如 RS256），并妥善管理密钥
    // 示例（生产环境应从安全位置加载）：
    keys: [
      { /* JWK for RS256 signing */ },
      // 可以包含多个密钥，用于密钥轮换
    ],
  },
  cookies: {
    keys: ['<替换为安全的随机字符串密钥>', /* 可以有多个用于轮换 */], // 用于签名 OIDC 交互过程中的 Cookie
    long: { signed: true, maxAge: (1 * 24 * 60 * 60) * 1000 }, // 1 day in ms
    short: { signed: true },
  },

  // 7. 令牌有效期 (Time-to-Live)
  ttl: {
    AccessToken: 1 * 60 * 60, // 1 hour
    AuthorizationCode: 10 * 60, // 10 minutes
    IdToken: 1 * 60 * 60, // 1 hour
    DeviceCode: 10 * 60, // 10 minutes
    RefreshToken: 30 * 24 * 60 * 60, // 30 days (如果启用轮换，实际有效期可能更灵活)
    // ... 其他 TTL 配置
  },

  // 8. 交互策略 (Interactions Policy) - **关键集成点**
  interactions: {
    policy: /* ... 见 3.4 ... */,
    url(ctx, interaction) { // 生成用户交互页面的 URL
      return `/interaction/${interaction.uid}`;
    },
  },

  // 9. 账户查找 (findAccount) - **关键集成点**
  async findAccount(ctx, id, token) {
    // token 参数用于提示该调用是哪个流程触发的（如 id_token, userinfo）
    // id 参数是 LobeChat 内部的用户 ID (sub)
    const user = await LobeChatUserService.findById(id); // 假设有 LobeChatUserService
    if (!user) {
      return undefined;
    }

    return {
      accountId: user.id,
      // claims 方法返回 OIDC Claims
      async claims(use, scope) { // use can be 'id_token' or 'userinfo'
        const claims = {
          sub: user.id,
        };
        if (scope.includes('profile')) {
          claims.name = user.name;
          claims.picture = user.avatar;
          // ... 其他 profile claims
        }
        if (scope.includes('email')) {
          claims.email = user.email;
          claims.email_verified = user.emailVerified;
        }
        // 添加自定义 claims (如果需要)
        // if (scope.includes('custom_scope')) { claims.custom_claim = user.customData; }
        return claims;
      },
    };
  },

  // 10. Adapter 配置
  adapter: /* ... 见 3.3 ... */,

  // 11. Issuer Identifier
  // 必须与部署的 URL 匹配，例如 'https://chat.example.com'
  // issuer: process.env.OIDC_ISSUER_URL,
};

const provider = new Provider(configuration.issuer, configuration);

// 将 provider 挂载到 Web 框架 (例如 Express)
// app.use('/oidc', provider.callback()); // 或者其他基础路径

3.3. 数据库适配器 (Adapter) 实现

• 职责: 持久化 oidc-provider 运行所需的各种模型数据（如 Session, AccessToken, AuthorizationCode, RefreshToken, Client, DeviceCode 等）。
• 选项:
  • 使用现有适配器: 如果 LobeChat 使用的数据库有官方或社区提供的 oidc-provider 适配器（如 oidc-provider-adapter-node-postgres, oidc-provider-adapter-redis），优先考虑使用并进行配置。
  • 自定义实现: 如果没有现成适配器，需要根据 oidc-provider 的 Adapter 接口规范，自行编写适配器逻辑，将 OIDC 模型映射到 LobeChat 的数据库模式中。这需要一定工作量。
• 数据库模型: 需要在数据库中创建对应的表或集合来存储 OIDC 数据。Adapter 的实现需要处理这些数据的增删改查。

3.4. 与现有认证体系 (Clerk/NextAuth) 的集成

通过 interactions.policy 配置实现：

// interactions.policy 示例 (使用 oidc-provider 的 defaultPolicy 扩展)
import { defaultPolicy } from 'oidc-provider/lib/helpers/defaults.js';

const policy = defaultPolicy();

// 1. 添加 'login' 和 'consent' 到必须的 prompt 列表
policy.get('base').prompts.push('login', 'consent');

// 2. 自定义 'login' 检查逻辑
policy.get('login').checks.add(new Check(
  'check_existing_session', // 检查名称
  'End-User authentication is required', // 错误消息
  'login_required', // 错误代码
  (ctx) => { // 检查函数
    const { oidc, session } = ctx;
    // 如果 oidc session 中已有 accountId，说明用户已在本 OIDC 流程中登录过
    if (session.accountId) {
      return Check.NO_NEED_TO_PROMPT; // 不需要再次提示登录
    }
    // 检查 Clerk/NextAuth 的会话是否存在 (具体检查方式依赖于 LobeChat 的实现)
    const hasExternalSession = await checkClerkOrNextAuthSession(ctx.req); // 自定义函数检查请求中的会话 cookie/token
    if (hasExternalSession) {
      // 如果存在外部会话，尝试从中获取用户 ID 并设置到 OIDC session 中
      const accountId = await getUserIdFromExternalSession(ctx.req); // 自定义函数获取用户 ID
      if (accountId) {
        session.accountId = accountId;
        return Check.NO_NEED_TO_PROMPT; // 找到了用户，无需提示
      }
    }
    // 既没有 OIDC 登录态，也没有外部登录态，需要提示登录
    return Check.REQUEST_PROMPT;
  },
));

// 3. (可选) 自定义 'consent' 检查逻辑
// 默认情况下，每次授权都会要求 consent，除非使用了特定参数或客户端配置
// 可以根据需要调整 consent 逻辑，例如对于第一方客户端跳过某些情况的 consent

// ... 其他 policy 配置 ...

export default policy;

• 交互页面实现: 需要创建对应的页面 (例如 /interaction/:uid) 来处理 login 和 consent 提示。
  • Login Prompt: 如果触发了 login 提示 (即 check_existing_session 返回 REQUEST_PROMPT)，此页面应重定向到 LobeChat 现有的 Clerk/NextAuth 登录页面。登录成功后，Clerk/NextAuth 需要重定向回 OIDC 的交互 URL (/interaction/:uid) 并附带成功状态。
  • Consent Prompt: 当需要用户同意授权时 (通常在登录后)，此页面需要从 oidc-provider 获取交互详情 (provider.interactionDetails(req, res))，展示请求授权的客户端信息 (details.params.client_id) 和请求的权限范围 (details.params.scope)。用户点击同意后，调用 provider.interactionFinished(req, res, result, { mergeWithLastSubmission: false }) 完成授权。

3.5. API 端点

oidc-provider 会自动处理以下标准端点（挂载在配置的基础路径下，如 /oidc）：

• /auth: 授权端点 (GET)
• /token: 令牌端点 (POST)
• /jwks: JWK Set 端点 (GET)
• /userinfo: 用户信息端点 (GET/POST)
• /revocation: 令牌撤销端点 (POST)
• /introspection: 令牌自省端点 (POST)
• (如果启用) /device_authorization: 设备授权端点 (POST)

3.6. 安全性考量

• HTTPS 必须: 整个 LobeChat 实例和 OIDC 端点必须运行在 HTTPS 下。
• 密钥管理: 安全地生成、存储和轮换 jwks 和 cookies.keys。
• Adapter 安全: 确保 Adapter 实现是安全的，能正确处理数据持久化和访问控制。
• 输入验证: oidc-provider 内部会做很多验证，但与外部系统（如 Clerk/NextAuth）交互的部分需要确保数据传递和状态转换的正确性。
• 依赖更新: 定期更新 oidc-provider 及其依赖，以获取安全补丁。

4. 影响 (Impacts)

• 开发工作量: 主要集中在 Adapter 的实现/配置、oidc-provider 的精细配置以及与现有认证体系的交互逻辑开发 (交互页面和 interactions.policy、findAccount 钩子)。
• 数据库: 需要新增用于存储 OIDC 状态的表或集合。
• 基础设施: 确保部署环境满足 HTTPS 要求，并能安全管理密钥。
• 性能: 增加新的 API 端点和数据库交互，可能会对服务器性能产生轻微影响，需要监控。
• 安全性: 正确实施将显著提高客户端访问的安全性。但也引入了新的攻击面（OIDC 服务本身），需要遵循最佳实践。
• 架构: 引入了专门的授权层，使认证（你是谁）和授权（你能做什么）分离，架构更清晰。

5. 未解决的问题 (Open Questions)

• 具体的数据库 Adapter 选型或自定义实现方案。
• 与 Clerk/NextAuth 集成的具体代码实现细节（如何可靠地检查外部会话并获取用户 ID）。
• 详细的 oidc-provider 配置调优（例如，各种 TTL 的最佳值，是否启用所有推荐的 feature）。
• 错误处理和日志记录策略，特别是在 OIDC 流程中的错误。
• 部署和运维方面的考虑（密钥管理、数据库备份、性能监控）。
• 是否需要支持 OIDC 的动态客户端注册 (Dynamic Client Registration)？（初期可能不需要）。

6. 未来工作 (Future Work)

• 启用并配置 client_credentials Grant Type，用于支持 M2M 场景或 OpenAPI Key 的管理。
• 实现 OIDC 的注销机制 (RP-Initiated Logout, Back-Channel Logout)。
• 构建客户端管理界面，允许用户查看和撤销已授权的应用。
• 考虑实现更高级的 OIDC 功能，如 Resource Indicators (RFC 8707)。
• 持续监控 OIDC/OAuth 安全最佳实践并更新实现。

进展

• 实现 PR：🔨 chore: add OAuth 2.0 and OIDC core implement #7380
• 优化细节 🔨 chore: improve OIDC code challenge workflow #7397
• lambda 路由添加 OIDC Bear 认证头： 🔨 chore: add oidc auth for lambda route #7426
• 💄 style: improve oidc OAuth workflow #7563

[arvinxx]

DB Schema

/* eslint-disable sort-keys-fix/sort-keys-fix  */
import { boolean, jsonb, pgTable, primaryKey, text, varchar } from 'drizzle-orm/pg-core';

import { timestamps, timestamptz } from './_helpers';
import { users } from './user';

/**
 * OIDC 授权码
 * oidc-provider 需要持久化的模型之一
 */
export const oidcAuthorizationCodes = pgTable('oidc_authorization_codes', {
  id: varchar('id', { length: 255 }).primaryKey(),
  data: jsonb('data').notNull(),
  expiresAt: timestamptz('expires_at').notNull(),
  consumedAt: timestamptz('consumed_at'),
  userId: text('user_id')
    .references(() => users.id, { onDelete: 'cascade' })
    .notNull(),
  clientId: varchar('client_id', { length: 255 }).notNull(),
  grantId: varchar('grant_id', { length: 255 }),
  ...timestamps,
});

/**
 * OIDC 访问令牌
 * oidc-provider 需要持久化的模型之一
 */
export const oidcAccessTokens = pgTable('oidc_access_tokens', {
  id: varchar('id', { length: 255 }).primaryKey(),
  data: jsonb('data').notNull(),
  expiresAt: timestamptz('expires_at').notNull(),
  consumedAt: timestamptz('consumed_at'),
  userId: text('user_id')
    .references(() => users.id, { onDelete: 'cascade' })
    .notNull(),
  clientId: varchar('client_id', { length: 255 }).notNull(),
  grantId: varchar('grant_id', { length: 255 }),
  ...timestamps,
});

/**
 * OIDC 刷新令牌
 * oidc-provider 需要持久化的模型之一
 */
export const oidcRefreshTokens = pgTable('oidc_refresh_tokens', {
  id: varchar('id', { length: 255 }).primaryKey(),
  data: jsonb('data').notNull(),
  expiresAt: timestamptz('expires_at').notNull(),
  consumedAt: timestamptz('consumed_at'),
  userId: text('user_id')
    .references(() => users.id, { onDelete: 'cascade' })
    .notNull(),
  clientId: varchar('client_id', { length: 255 }).notNull(),
  grantId: varchar('grant_id', { length: 255 }),
  ...timestamps,
});

/**
 * OIDC 设备代码
 * oidc-provider 需要持久化的模型之一
 */
export const oidcDeviceCodes = pgTable('oidc_device_codes', {
  id: varchar('id', { length: 255 }).primaryKey(),
  data: jsonb('data').notNull(),
  expiresAt: timestamptz('expires_at').notNull(),
  consumedAt: timestamptz('consumed_at'),
  userId: text('user_id').references(() => users.id, { onDelete: 'cascade' }),
  clientId: varchar('client_id', { length: 255 }).notNull(),
  grantId: varchar('grant_id', { length: 255 }),
  userCode: varchar('user_code', { length: 255 }),
  ...timestamps,
});

/**
 * OIDC 交互会话
 * oidc-provider 需要持久化的模型之一
 */
export const oidcInteractions = pgTable('oidc_interactions', {
  id: varchar('id', { length: 255 }).primaryKey(),
  data: jsonb('data').notNull(),
  expiresAt: timestamptz('expires_at').notNull(),
  ...timestamps,
});

/**
 * OIDC 授权记录
 * oidc-provider 需要持久化的模型之一
 */
export const oidcGrants = pgTable('oidc_grants', {
  id: varchar('id', { length: 255 }).primaryKey(),
  data: jsonb('data').notNull(),
  expiresAt: timestamptz('expires_at').notNull(),
  consumedAt: timestamptz('consumed_at'),
  userId: text('user_id')
    .references(() => users.id, { onDelete: 'cascade' })
    .notNull(),
  clientId: varchar('client_id', { length: 255 }).notNull(),
  ...timestamps,
});

/**
 * OIDC 客户端配置
 * 存储 OIDC 客户端配置信息
 */
export const oidcClients = pgTable('oidc_clients', {
  id: varchar('id', { length: 255 }).primaryKey(), // client_id
  name: text('name').notNull(),
  description: text('description'),
  clientSecret: varchar('client_secret', { length: 255 }), // 公共客户端可为 null
  redirectUris: text('redirect_uris').array().notNull(),
  grants: text('grants').array().notNull(),
  responseTypes: text('response_types').array().notNull(),
  scopes: text('scopes').array().notNull(),
  tokenEndpointAuthMethod: varchar('token_endpoint_auth_method', { length: 20 }),
  applicationType: varchar('application_type', { length: 20 }),
  clientUri: text('client_uri'),
  logoUri: text('logo_uri'),
  policyUri: text('policy_uri'),
  tosUri: text('tos_uri'),
  isFirstParty: boolean('is_first_party').default(false),
  ...timestamps,
});

/**
 * OIDC 会话
 * oidc-provider 需要持久化的模型之一
 */
export const oidcSessions = pgTable('oidc_sessions', {
  id: varchar('id', { length: 255 }).primaryKey(),
  data: jsonb('data').notNull(),
  expiresAt: timestamptz('expires_at').notNull(),
  userId: text('user_id')
    .references(() => users.id, { onDelete: 'cascade' })
    .notNull(),
  ...timestamps,
});

/**
 * OIDC 授权同意记录
 * 记录用户对客户端的授权同意历史
 */
export const oidcConsents = pgTable(
  'oidc_consents',
  {
    userId: text('user_id')
      .references(() => users.id, { onDelete: 'cascade' })
      .notNull(),
    clientId: varchar('client_id', { length: 255 })
      .references(() => oidcClients.id, { onDelete: 'cascade' })
      .notNull(),
    scopes: text('scopes').array().notNull(),
    expiresAt: timestamptz('expires_at'),
    ...timestamps,
  },
  (table) => ({
    pk: primaryKey({ columns: [table.userId, table.clientId] }),
  }),
);

[arvinxx]

SQL

CREATE TABLE IF NOT EXISTS "oidc_access_tokens" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"data" jsonb NOT NULL,
	"expires_at" timestamp with time zone NOT NULL,
	"consumed_at" timestamp with time zone,
	"user_id" text NOT NULL,
	"client_id" varchar(255) NOT NULL,
	"grant_id" varchar(255),
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_authorization_codes" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"data" jsonb NOT NULL,
	"expires_at" timestamp with time zone NOT NULL,
	"consumed_at" timestamp with time zone,
	"user_id" text NOT NULL,
	"client_id" varchar(255) NOT NULL,
	"grant_id" varchar(255),
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_clients" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"name" text NOT NULL,
	"description" text,
	"client_secret" varchar(255),
	"redirect_uris" text[] NOT NULL,
	"grants" text[] NOT NULL,
	"response_types" text[] NOT NULL,
	"scopes" text[] NOT NULL,
	"token_endpoint_auth_method" varchar(20),
	"application_type" varchar(20),
	"client_uri" text,
	"logo_uri" text,
	"policy_uri" text,
	"tos_uri" text,
	"is_first_party" boolean DEFAULT false,
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_consents" (
	"user_id" text NOT NULL,
	"client_id" varchar(255) NOT NULL,
	"scopes" text[] NOT NULL,
	"expires_at" timestamp with time zone,
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL,
	CONSTRAINT "oidc_consents_user_id_client_id_pk" PRIMARY KEY("user_id","client_id")
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_device_codes" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"data" jsonb NOT NULL,
	"expires_at" timestamp with time zone NOT NULL,
	"consumed_at" timestamp with time zone,
	"user_id" text,
	"client_id" varchar(255) NOT NULL,
	"grant_id" varchar(255),
	"user_code" varchar(255),
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_grants" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"data" jsonb NOT NULL,
	"expires_at" timestamp with time zone NOT NULL,
	"consumed_at" timestamp with time zone,
	"user_id" text NOT NULL,
	"client_id" varchar(255) NOT NULL,
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_interactions" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"data" jsonb NOT NULL,
	"expires_at" timestamp with time zone NOT NULL,
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_refresh_tokens" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"data" jsonb NOT NULL,
	"expires_at" timestamp with time zone NOT NULL,
	"consumed_at" timestamp with time zone,
	"user_id" text NOT NULL,
	"client_id" varchar(255) NOT NULL,
	"grant_id" varchar(255),
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
CREATE TABLE IF NOT EXISTS "oidc_sessions" (
	"id" varchar(255) PRIMARY KEY NOT NULL,
	"data" jsonb NOT NULL,
	"expires_at" timestamp with time zone NOT NULL,
	"user_id" text NOT NULL,
	"accessed_at" timestamp with time zone DEFAULT now() NOT NULL,
	"created_at" timestamp with time zone DEFAULT now() NOT NULL,
	"updated_at" timestamp with time zone DEFAULT now() NOT NULL
);
--> statement-breakpoint
ALTER TABLE "oidc_access_tokens" ADD CONSTRAINT "oidc_access_tokens_user_id_users_id_fk" FOREIGN KEY ("user_id") REFERENCES "public"."users"("id") ON DELETE cascade ON UPDATE no action;--> statement-breakpoint
ALTER TABLE "oidc_authorization_codes" ADD CONSTRAINT "oidc_authorization_codes_user_id_users_id_fk" FOREIGN KEY ("user_id") REFERENCES "public"."users"("id") ON DELETE cascade ON UPDATE no action;--> statement-breakpoint
ALTER TABLE "oidc_consents" ADD CONSTRAINT "oidc_consents_user_id_users_id_fk" FOREIGN KEY ("user_id") REFERENCES "public"."users"("id") ON DELETE cascade ON UPDATE no action;--> statement-breakpoint
ALTER TABLE "oidc_consents" ADD CONSTRAINT "oidc_consents_client_id_oidc_clients_id_fk" FOREIGN KEY ("client_id") REFERENCES "public"."oidc_clients"("id") ON DELETE cascade ON UPDATE no action;--> statement-breakpoint
ALTER TABLE "oidc_device_codes" ADD CONSTRAINT "oidc_device_codes_user_id_users_id_fk" FOREIGN KEY ("user_id") REFERENCES "public"."users"("id") ON DELETE cascade ON UPDATE no action;--> statement-breakpoint
ALTER TABLE "oidc_grants" ADD CONSTRAINT "oidc_grants_user_id_users_id_fk" FOREIGN KEY ("user_id") REFERENCES "public"."users"("id") ON DELETE cascade ON UPDATE no action;--> statement-breakpoint
ALTER TABLE "oidc_refresh_tokens" ADD CONSTRAINT "oidc_refresh_tokens_user_id_users_id_fk" FOREIGN KEY ("user_id") REFERENCES "public"."users"("id") ON DELETE cascade ON UPDATE no action;--> statement-breakpoint
ALTER TABLE "oidc_sessions" ADD CONSTRAINT "oidc_sessions_user_id_users_id_fk" FOREIGN KEY ("user_id") REFERENCES "public"."users"("id") ON DELETE cascade ON UPDATE no action;

[arvinxx]

OAuth 服务器实现对比：node-oauth/oauth2-server vs oidc-provider

本文档比较了 LobeChat 中两种 OAuth 服务器实现方式的异同点，帮助开发者理解各自的优缺点。

1. 实现架构对比

使用 @node-oauth/oauth2-server (原实现)

核心架构:

• 基于 Express 风格的请求/响应模型
• 需要将 Next.js 的 Request/Response 转换为 Express 风格
• 手动实现 OAuth 2.0 授权和令牌端点

适配层:

// 将 Next Request 转为 Express Request
convertNextRequestToExpressRequest(req: NextRequest): ExpressRequest

// 创建空的 Express Response
createExpressResponse(): ExpressResponse

// 将处理后的 Express Response 转回 Next Response
convertExpressResponseToNextResponse(res: ExpressResponse): NextResponse

使用 oidc-provider (新实现)

核心架构:

• 基于 Node.js 的 HTTP 请求/响应模型
• 需要将 Next.js 的 Request/Response 转换为 Node.js HTTP 模型
• 完整实现 OpenID Connect 规范，包含授权、令牌、用户信息等端点

适配层:

// 将 Next Request 转为 Node IncomingMessage
convertNextRequestToNodeRequest(req: NextRequest, url: string): IncomingMessage

// 处理 OIDC Provider 请求，并返回 Next Response
handleOIDCRequest(provider: Provider, req: NextRequest, mountPath: string): Promise<NextResponse>

2. 功能完整性对比

功能	@node-oauth/oauth2-server	oidc-provider
OAuth 2.0 授权码模式	✅	✅
OAuth 2.0 客户端凭证模式	✅	✅
OAuth 2.0 令牌刷新	✅	✅
PKCE 支持	✅ (手动实现)	✅ (内置)
OpenID Connect	❌ (需手动扩展)	✅ (完整支持)
令牌内省 (RFC 7662)	❌ (需手动实现)	✅
令牌撤销 (RFC 7009)	❌ (需手动实现)	✅
动态客户端注册	❌ (需手动实现)	✅ (可配置)
会话管理	❌ (需手动实现)	✅
用户交互流程	❌ (需手动实现)	✅ (内置支持)

3. 代码量对比

指标	@node-oauth/oauth2-server	oidc-provider
核心代码行数	~600 行	~600 行
适配层代码量	大（Express 转换复杂）	中（Node HTTP 转换较简单）
自定义端点实现	多（需手动实现各种端点逻辑）	少（库内置大部分端点逻辑）
配置代码量	少（配置项较少）	多（配置项丰富）

4. 与 Next.js 集成难度

方面	@node-oauth/oauth2-server	oidc-provider
请求/响应转换	复杂（需转换 Express 特定模型）	中等（需转换 Node HTTP）
路由处理	简单（直接调用处理函数）	简单（直接调用处理函数）
会话管理	中等（需自行实现）	简单（库内置支持）
错误处理	中等（需手动捕获并转换）	简单（库内置支持）

5. 安全性对比

安全特性	@node-oauth/oauth2-server	oidc-provider
OAuth 2.0 核心安全	✅	✅
PKCE 保护	✅ (手动实现)	✅ (内置，可配置)
JWT 签名选项	❌ (需额外实现)	✅ (多种算法支持)
客户端认证方式	有限	丰富（多种认证方法）
安全更新维护	较少	活跃

6. 性能与可扩展性

方面	@node-oauth/oauth2-server	oidc-provider
请求处理开销	中等（需转换请求/响应）	中等（需转换请求/响应）
内存使用	低	中（功能更丰富）
缓存支持	有限	丰富（内置多种缓存策略）
分布式部署支持	需自行实现	内置支持

7. 文档与社区支持

方面	@node-oauth/oauth2-server	oidc-provider
文档完整性	中等	优秀
示例代码	有限	丰富
GitHub Stars	~2K	~3K
维护活跃度	中等	高
社区规模	中等	大

8. 总结

@node-oauth/oauth2-server 优势

• 设计相对简单，容易理解基本 OAuth 流程
• 代码量较少，核心功能轻量级
• 自定义性高，可以完全控制实现细节

@node-oauth/oauth2-server 劣势

• 需要手动实现许多现代 OAuth 2.0 扩展
• 与 Next.js 集成需要复杂的适配层
• 安全功能需要自行添加
• 不直接支持 OpenID Connect

oidc-provider 优势

• 完整支持 OAuth 2.0 和 OpenID Connect 规范
• 内置丰富的安全特性
• 更好的文档和社区支持
• 更积极的维护和更新
• 适配 Next.js 的代码相对简单

oidc-provider 劣势

• 配置选项多，学习曲线较陡
• 功能丰富导致初始理解较复杂
• 内存占用相对较高

9. 推荐选择

针对 LobeChat 项目，oidc-provider 是更为现代、安全、功能完整的选择。尽管它需要一些初始学习成本，但长期来看能够提供更好的安全性、标准合规性和可维护性。对于需要完整 OAuth 2.0/OpenID Connect 支持的产品级应用，oidc-provider 是更合适的选择。

[arvinxx]

测试验证方法

进行全面细致的测试验证至关重要，以确保其功能正确、安全可靠。

以下是一些建议的测试验证步骤和方面，你可以根据你的具体实现情况进行调整：

一、 核心流程 (E2E) 测试 (Authorization Code Grant with PKCE)

这是最关键的流程，需要优先验证。你可以使用 Postman、cURL 或专门的 OIDC 客户端库（如 Node.js 的 openid-client）来模拟你的第一方客户端（例如 lobe-chat-desktop）。

1. 准备:

   • 客户端生成 code_verifier (一个高熵随机字符串)。
   • 客户端计算 code_challenge (通常是 code_verifier 的 SHA256 哈希，然后进行 Base64URL 编码)。
   • 客户端生成一个随机的 state 值，用于防止 CSRF。

2. 发起授权请求 (GET /oidc/auth):

   • 构造授权 URL，包含参数：
     • client_id: lobe-chat-desktop
     • redirect_uri: 客户端注册的回调 URI (例如 lobe-chat-desktop://auth/callback)
     • response_type: code
     • scope: openid profile email offline_access sync:read sync:write (根据需要测试不同组合)
     • state: 上一步生成的 state 值
     • code_challenge: 上一步计算的 code_challenge
     • code_challenge_method: S256
   • 场景 A (用户未登录 LobeChat): 访问此 URL，预期行为是重定向到 LobeChat 的登录页面。完成登录后，应该重定向回 OIDC 的交互/同意页面。
   • 场景 B (用户已登录 LobeChat，首次授权): 访问此 URL，预期行为是跳过登录，直接显示 OIDC 的同意页面 (/interaction/:uid)。
   • 同意页面验证: 检查页面是否正确显示了请求授权的客户端信息 (client_id) 和请求的权限 (scope)。
   • 用户同意: 模拟用户点击同意。预期行为是服务器重定向回客户端的 redirect_uri，并在 URL 查询参数中包含 code 和 state。
   • State 验证: 客户端需要验证返回的 state 值与最初发送的是否一致。

3. 交换授权码获取令牌 (POST /oidc/token):

   • 客户端收到 code 后，向令牌端点发送 POST 请求，请求体为 application/x-www-form-urlencoded，包含参数：
     • grant_type: authorization_code
     • code: 从上一步获取的 code
     • redirect_uri: 与授权请求中使用的 redirect_uri 相同
     • client_id: lobe-chat-desktop
     • code_verifier: 第一步生成的原始 code_verifier
   • 预期响应 (成功): 服务器验证 code 和 code_verifier 后，返回 200 OK，响应体为 JSON，包含：
     • access_token: JWT 格式的访问令牌。
     • id_token: JWT 格式的 ID 令牌 (因为请求了 openid scope)。
     • refresh_token: (因为请求了 offline_access scope)。
     • token_type: Bearer。
     • expires_in: Access Token 的有效期（秒）。
     • scope: 实际授予的权限范围。

4. 令牌验证与使用:

   • ID Token 验证:
     • 解析 id_token (它是一个 JWT)。
     • 使用 /oidc/jwks 端点获取到的公钥验证其签名。
     • 验证 iss (Issuer) 是否与配置一致。
     • 验证 aud (Audience) 是否包含你的 client_id。
     • 验证 exp (Expiration Time) 是否未过期。
     • 验证 iat (Issued At) 时间戳。
     • 验证 sub (Subject) 是否是正确的用户 ID。
     • 根据请求的 scope (如 profile, email) 检查 id_token 中是否包含对应的 Claims (name, picture, email等)。
   • Access Token 使用 (UserInfo):
     • 使用获取到的 access_token 向 /oidc/userinfo 端点发起 GET 或 POST 请求 (携带 Authorization: Bearer <access_token> 头)。
     • 预期响应: 服务器验证 Access Token 后，返回包含用户信息的 JSON 对象，其内容应与请求的 scope 相关 (profile, email claims)。
   • Access Token 使用 (API 访问 - 集成测试):
     • 如果你的目标是保护数据同步 API，尝试使用 access_token 调用这些 API。
     • 验证 API 是否能正确识别用户身份并根据授予的 scope (sync:read, sync:write) 执行操作。

二、 Refresh Token 流程测试

1. 使用 Refresh Token (POST /oidc/token):
   • 使用上一步获取的 refresh_token 向令牌端点发送 POST 请求，包含参数：
     • grant_type: refresh_token
     • refresh_token: 获取到的 refresh_token
     • client_id: lobe-chat-desktop
     • (可选) scope: 可以请求与原授权相同或更小子集的 scope。
   • 预期响应 (成功): 服务器验证 refresh_token 后，返回 200 OK，响应体包含新的 access_token，可能还有新的 refresh_token (因为你启用了 rotateAndConsume)，以及 expires_in, token_type 等。
2. Refresh Token 轮换验证:
   • 如果获取到了新的 refresh_token，尝试再次使用旧的 refresh_token 请求令牌。
   • 预期行为: 服务器应拒绝该请求，返回错误 (例如 invalid_grant)，因为旧令牌已被消费。

三、 其他端点和功能测试

1. 令牌撤销 (POST /oidc/revocation):
   • 尝试撤销一个有效的 access_token 或 refresh_token。
   • 请求参数: token, token_type_hint (可选, 如 access_token 或 refresh_token), client_id。
   • 预期响应: 200 OK。
   • 验证: 尝试使用被撤销的令牌访问 UserInfo 或刷新令牌，预期会失败。如果撤销 Refresh Token，其关联的 Access Token 也应失效。
2. 令牌自省 (POST /oidc/introspection):
   • 使用一个有效的 access_token 查询自省端点。
   • 请求参数: token, token_type_hint (可选), client_id (可能需要客户端认证，取决于你的配置，但公共客户端通常不需要)。
   • 预期响应 (成功): 包含 active: true 以及令牌相关信息 (如 scope, client_id, username, exp 等) 的 JSON。
   • 尝试自省一个无效或已撤销的令牌，预期响应包含 active: false。
3. JWKS 端点 (GET /oidc/jwks):
   • 访问该端点，验证是否返回了有效的 JWK Set JSON，其中应包含用于签名 ID Token 的公钥。
4. 错误处理:
   • 故意构造错误的请求（例如，无效的 redirect_uri、错误的 code_verifier、过期的 code、无效的 client_id、请求未授权的 scope、用户拒绝授权等）。
   • 验证服务器是否返回符合 OAuth 2.0 / OIDC 规范的错误响应（正确的 HTTP 状态码和错误代码，如 invalid_request, invalid_grant, unauthorized_client, access_denied, invalid_scope 等）。

四、 单元/集成测试

除了 E2E 测试，针对关键逻辑单元编写测试也很重要：

1. Adapter: 如果你编写了自定义 Adapter，需要测试其 find, findByUid, findByUserCode, upsert, revokeByGrantId, consume, destroy 等方法是否能正确读写数据库，并处理各种边界情况。
2. findAccount 钩子: 测试它能否根据用户 ID 准确找到用户记录，并根据传入的 scope 参数正确返回包含 sub 和其他请求 Claims 的对象。模拟找不到用户的情况。
3. interactions.policy 逻辑: 重点测试 check_existing_session 检查。模拟不同的请求上下文（带有 LobeChat 会话 Cookie/Token、不带；OIDC session 中有无 accountId），验证其是否按预期返回 Check.NO_NEED_TO_PROMPT 或 Check.REQUEST_PROMPT。
4. 与 Clerk/NextAuth 的集成点: 编写测试用例来验证 checkClerkOrNextAuthSession 和 getUserIdFromExternalSession 函数（或你实现的类似逻辑）能否在模拟请求中正确检测会话并提取用户 ID。

五、 安全性检查

1. 强制 PKCE: 尝试发起没有 code_challenge 和 code_challenge_method 的授权请求，验证服务器是否拒绝该请求。
2. HTTPS: 确认所有 OIDC 端点都强制使用 HTTPS。
3. State 参数: 确保在授权流程中严格检查 state 参数以防止 CSRF。
4. 密钥安全: 检查 jwks 和 cookies.keys 是否配置了强密钥，并思考密钥管理和轮换策略。
5. 日志审查: 检查日志输出，确保没有意外记录 Tokens、code_verifier 等敏感信息。

建议的下一步:

1. 从核心 E2E 流程开始: 手动使用 Postman 或类似工具跑通 Authorization Code + PKCE 流程，这是基础。
2. 编写自动化测试: 逐步将上述 E2E 场景（核心流程、Refresh Token、撤销、错误处理）编写成自动化测试脚本。
3. 补充单元/集成测试: 针对 Adapter、findAccount、policy 等编写测试用例。
4. 进行安全检查: 对照列表逐项检查。

祝你测试顺利！这部分工作虽然繁琐，但对确保 OIDC 服务的健壮性和安全性至关重要。

[arvinxx]

一个深坑：oidc-provider 依赖 ModelConstructor.name 来获取要传递给 Adapter 工厂的字符串

---

源码分析 (lib/models/base_model.js):

// Abridged from lib/models/base_model.js

const adapterCache = new WeakMap();

export default function getBaseModel(provider) {
  function adapter(ctx) { // ctx here is either the model class or a model instance
    const obj = typeof ctx === 'function' ? ctx : ctx.constructor; // Get the constructor

    if (!adapterCache.has(obj)) {
      if (isConstructable(instance(provider).Adapter)) {
        // If adapter is a constructor
        adapterCache.set(obj, new (instance(provider).Adapter)(obj.name)); // <-- Uses obj.name
      } else {
        // If adapter is a factory function (your case)
        adapterCache.set(obj, instance(provider).Adapter(obj.name)); // <-- Uses obj.name
      }
    }

    return adapterCache.get(obj);
  }

  class Class {
    // ... constructor ...

    // Example: save method calls this.adapter
    async save(ttl) {
      // ... other logic ...
      await this.adapter.upsert(this.jti, payload, ttl); // <-- Calls the adapter getter
      // ... other logic ...
    }

    // Adapter getter on the instance
    get adapter() {
      return adapter(this); // <-- Calls the adapter function with the instance
    }

    // Adapter getter on the class
    static get adapter() {
      return adapter(this); // <-- Calls the adapter function with the class
    }

    // ... other methods ...
  }

  // ... (BaseModel definition) ...
  return BaseModel;
}

关键点:

1. 获取模型名称: oidc-provider 在需要特定模型的 Adapter 时，会获取该模型的构造函数 (obj = typeof ctx === 'function' ? ctx : ctx.constructor;)。
2. 传递名称给工厂: 然后，它读取这个构造函数的 name 属性 (obj.name)，并将这个字符串名称（例如 "Interaction", "Session", "Client"）传递给你的 Adapter 工厂函数 (instance(provider).Adapter(obj.name)）。
3. Adapter 构造: 你的工厂函数 function (name: string) { return new OIDCAdapter(name, db); } 接收这个 name，并用它来实例化 OIDCAdapter。
4. this.name 存储: OIDCAdapter 的构造函数应该将接收到的 name 存储在 this.name 中。

日志与源码结合分析:

• 你的日志显示 lobe-oidc:adapter [] Constructor called with name: (后面是空的)。
• 源码确认了 oidc-provider 依赖 ModelConstructor.name 来获取要传递给 Adapter 工厂的字符串。

结论 (再次指向构建过程):

结合源码和日志，最符合逻辑的解释仍然是 Vercel 的构建过程（SWC 压缩/混淆）修改或移除了类的 name 属性。

当 oidc-provider 尝试获取例如 Interaction 类的名称 (Interaction.name 或 interactionInstance.constructor.name) 时，在 Vercel 的生产构建中，这个值不再是 "Interaction"，而是变成了空字符串或 undefined。因此，你的 Adapter 工厂函数收到了一个空字符串作为 name，导致 OIDCAdapter 实例的 this.name 为空，最终在 getTable 中出错。

---

解决方案：#7430