OpenIddict核心库中PAR模式下select_account参数处理问题解析

背景介绍

OpenIddict是一个基于ASP.NET Core的开源OpenID Connect服务器框架，近期在其6.1.1版本中引入了Pushed Authorization Requests (PAR)模式的支持。PAR是一种安全增强特性，它允许客户端将授权请求参数推送到授权服务器，而不是直接通过前端通道传递。

问题现象

在PAR模式的实际使用中发现，当授权请求中包含prompt=select_account参数时，该参数在后续流程中不会被自动移除，这可能导致循环重定向问题。这与prompt=login参数的行为不同，后者在OpenIddict中已经被特殊处理。

技术原理分析

OpenIddict出于安全考虑，在PAR模式下设计为不允许覆盖原始授权请求中的参数。这种设计主要是为了防止恶意方降级安全相关参数，如PKCE机制或response_type等关键信息。

目前代码中对prompt参数有特殊处理逻辑，但仅针对login值，不包括select_account。select_account参数通常用于多账户选择场景，在ASP.NET Core中实现相对复杂，因此使用频率较低。

解决方案演进

OpenIddict维护者提出了几种可能的解决方案：

1. 扩展现有逻辑：将特殊处理逻辑扩展到select_account和consent参数，但这种方法被认为较为脆弱。

2. AuthenticationProperties方案：最初考虑使用ASP.NET Core的AuthenticationProperties来保存这些属性，但由于ASP.NET Core Identity在使用外部登录提供商时不会保留这些属性，此方案不可行。

3. 会话中间件方案：考虑使用会话中间件或自定义Cookie处理器来独立维护这些属性，但这需要开发者在授权控制器中自行实现。

4. TempData方案：最终确定的最优方案是使用ASP.NET Core的TempData机制来存储相关标志。这种方法比现有的特殊处理逻辑更加清晰，将在7.0.0-preview.2版本中实现。

临时解决方案

对于使用6.x版本的用户，可以采用与TempData类似的方案来解决prompt=select_account导致的循环重定向问题。开发者可以在授权流程中手动处理这一参数，避免其被持久化。

版本兼容性说明

OpenIddict 7.0将针对ASP.NET Core/Entity Framework 2.3作为最低版本要求，以确保.NET Framework用户始终使用受支持的ASP.NET Core版本。7.0.0-preview.2版本还对核心堆栈进行了重大修改，使其兼容Native AOT，这可能会影响相关集成项目。

总结

PAR模式下的参数处理需要平衡安全性和功能性。OpenIddict团队正在优化相关实现，从特殊处理逻辑转向更健壮的TempData方案。开发者在使用select_account等提示参数时应注意这一行为差异，并根据版本选择合适的解决方案。