Logto项目中SMTP连接器空字符串认证配置问题解析

问题背景

在Logto项目的1.21.0版本中，使用SMTP连接器配置无认证要求的邮件中继服务时，开发人员遇到了一个配置保存异常问题。当尝试配置不需要用户名和密码的SMTP服务器时，系统会错误地移除空字符串形式的认证参数，导致连接器无法正常工作。

技术细节分析

问题根源

该问题的核心在于Logto后端处理连接器配置时的数据清理逻辑。在packages/core/src/routes/connector/index.ts文件中，系统在处理配置保存请求时调用了cleanDeep函数，该函数会移除所有值为空字符串的键值对。对于SMTP连接器的认证配置，当用户提供空字符串作为用户名和密码时：

{
  "type": "login",
  "user": "",
  "pass": ""
}

经过cleanDeep处理后，配置会变为：

{
  "type": "login"
}

影响范围

这种处理方式导致两个主要问题：

1. 配置保存不一致：用户初始配置可以测试发送邮件成功，但保存后配置被修改导致功能失效
2. 验证逻辑冲突：后续操作会因缺少必填字段而验证失败

解决方案探讨

方案一：修改cleanDeep调用

最直接的解决方案是调整cleanDeep的调用方式，使其保留空字符串值。但这种方法可能存在风险，因为cleanDeep的设计初衷就是清理无效数据。

方案二：调整验证逻辑

更合理的方案是修改SMTP连接器的验证逻辑，使其符合Nodemailer的实际行为：

1. 使user和pass字段成为可选字段
2. 当这些字段不存在时，Nodemailer会默认不使用认证
3. 这与RFC标准SMTP行为一致，许多机构内部邮件中继确实基于源IP/VLAN控制访问

技术验证

通过直接使用Nodemailer的测试代码可以确认：

let transporter = nodemailer.createTransport({
  host: "relay.example.com",
  port: 25,
  auth: {} // 空对象同样有效
});

这种配置方式在不需要认证的SMTP服务器上工作正常，符合RFC标准。

实施建议

对于Logto项目维护者，建议采取以下改进措施：

1. 修改SMTP连接器的验证逻辑，使auth配置中的user和pass成为可选字段
2. 更新相关文档，明确说明无认证SMTP服务器的配置方法
3. 考虑在UI界面提供更明确的提示，指导用户如何配置不同类型的SMTP服务器

总结

Logto项目中SMTP连接器的这一配置问题揭示了在开发通用连接器时需要考虑各种实际使用场景的重要性。特别是在处理认证相关配置时，应当充分理解底层库(Nodemailer)的行为和行业常见实践，而不是强制所有配置都必须符合某种固定模式。通过这次问题的分析和解决，可以提升Logto在邮件服务集成方面的灵活性和易用性。