Eclipse Che 仪表盘用户登出问题的分析与解决方案

问题现象

在使用 Eclipse Che 7.89 版本时，当用户通过 Keycloak 作为 OIDC 提供者进行身份验证后，尝试从 Che 仪表盘点击"登出"按钮时，系统会立即重新登录用户，而无法完成正常的登出流程。这个问题在 AWS EKS 环境中尤为明显。

问题根源分析

经过技术团队深入调查，发现该问题的核心原因在于：

1. OAuth2 代理配置不完整：当前 Che 仪表盘在用户点击登出时，仅简单地将请求重定向到 /oauth/sign_out 端点，而没有提供完整的登出重定向 URL。

2. Keycloak 集成特殊性：与 Keycloak 集成时，需要明确指定登出端点 URL 格式为 https://<keycloak_domain>/realms/che/protocol/openid-connect/logout，否则无法正确终止会话。

3. 会话保持机制：由于缺少必要的登出参数，Keycloak 无法识别有效的登出请求，导致会话保持活动状态，从而触发自动重新登录。

解决方案

针对此问题，Eclipse Che 团队提供了以下解决方案：

配置更新方案

1. 升级 OAuth2 代理：确保使用 OAuth2 代理 v7.6.0 或更高版本。

2. 修改 CheCluster CR：在自定义资源定义中添加以下配置：

spec:
  networking:
    auth:
      gateway:
        deployment:
          containers:
          - env:
            - name: OAUTH2_PROXY_BACKEND_LOGOUT_URL
              value: http://<KEYCLOAK_HOST>/realms/<CHE_REALM>/protocol/openid-connect/logout?id_token_hint={id_token}
            name: oauth-proxy

配置参数说明

• KEYCLOAK_HOST：替换为实际的 Keycloak 服务地址
• CHE_REALM：替换为 Che 使用的 Keycloak 域名称
• id_token_hint 参数：确保 Keycloak 能够识别并终止当前会话

技术实现原理

这一解决方案的工作原理是：

1. 当用户点击登出时，仪表盘会将请求重定向到 OAuth2 代理的登出端点
2. OAuth2 代理根据配置的 BACKEND_LOGOUT_URL，将请求转发到 Keycloak 的标准登出端点
3. 携带的 id_token_hint 参数帮助 Keycloak 识别当前会话
4. Keycloak 成功终止会话后，用户才能真正登出系统

最佳实践建议

1. 环境验证：在应用此解决方案前，建议在测试环境中验证配置效果
2. 会话超时设置：可以适当调整 cookieExpireSeconds 参数，控制会话持续时间
3. 多浏览器测试：验证不同浏览器下的登出行为一致性
4. 监控日志：关注网关日志，确认登出流程是否按预期执行

总结

Eclipse Che 与 Keycloak 集成的登出问题是一个典型的 OIDC 会话管理场景。通过正确配置 OAuth2 代理的后端登出 URL，可以确保用户会话能够被 Keycloak 正确终止，从而解决自动重新登录的问题。这一解决方案不仅适用于 AWS EKS 环境，也可以推广到其他 Kubernetes 部署场景。