Open WebUI项目中的OIDC用户信息获取问题分析与解决方案

问题背景

在Open WebUI项目中，当使用外部OIDC提供商(如Authelia)进行身份验证时，系统期望用户信息(UserInfo)声明始终包含在ID令牌(id token)中返回。然而，根据最新的OIDC规范，这并不是强制要求的行为。

技术细节分析

OIDC(OpenID Connect)规范明确指出，ID令牌只需要包含特定的标准声明(如iss、sub、aud、exp等)。其他用户信息(如email、username等)可以通过独立的UserInfo端点获取。Authelia在4.39版本更新后，遵循规范更严格地实现了这一行为，不再默认将所有用户信息包含在ID令牌中。

错误表现

当Open WebUI尝试解析来自OIDC提供商的响应时，会出现以下错误：

1. 系统尝试解析UserInfo端点返回的JSON数据失败
2. 后端抛出JSONDecodeError异常
3. 用户在前端看到"Internal Server Error"错误提示

根本原因

问题根源在于Open WebUI的OIDC客户端实现做出了以下假设：

1. 所有用户信息声明都会包含在ID令牌中
2. 不需要额外调用UserInfo端点获取用户信息
3. 对UserInfo端点的响应处理不够健壮

解决方案建议

1. 改进令牌处理逻辑：首先检查ID令牌中的用户信息，如果缺失必要字段，则调用UserInfo端点补充
2. 增强错误处理：对UserInfo端点的响应添加更完善的错误处理和空响应检查
3. 遵循OIDC规范：实现标准的OIDC流程，正确处理ID令牌和UserInfo端点的组合使用

实现示例

可以参考其他项目(如Mealie)的类似修复方案，它们通过以下方式解决了相同问题：

1. 添加对UserInfo端点的条件性调用
2. 合并来自ID令牌和UserInfo端点的用户信息
3. 提供更友好的错误提示

对用户的影响

此问题会影响所有使用新版Authelia(4.39+)或其他严格遵循OIDC规范的提供商作为认证后端的Open WebUI用户。临时解决方案是配置OIDC提供商继续在ID令牌中包含所有用户信息，但这只是权宜之计。

结论

Open WebUI需要更新其OIDC实现以完全符合规范，这不仅会解决当前的兼容性问题，还能提高系统与各种OIDC提供商的互操作性。这种改进将使项目更加健壮，并为用户提供更稳定的身份验证体验。