Envoy代理中OAuth2刷新令牌Cookie导致的会话污染问题分析

问题背景

在Envoy代理的OAuth2认证流程中，存在一个与刷新令牌Cookie相关的会话污染问题。当用户会话中残留了RefreshToken Cookie，而当前配置又不支持刷新令牌时，会导致后续的认证流程进入无限重定向循环。

技术原理

OAuth2认证流程中，Envoy会使用HMAC机制来验证会话的完整性。具体流程如下：

1. 当用户首次完成OAuth2认证时，如果配置支持刷新令牌，Envoy会设置RefreshToken Cookie
2. 后续请求中，Envoy会计算包含访问令牌、刷新令牌和过期时间的HMAC值，并与客户端发送的OauthHMAC Cookie进行比对
3. 如果配置变更不再支持刷新令牌，但客户端仍携带RefreshToken Cookie，会导致HMAC验证失败

问题表现

当出现此问题时，用户会观察到以下现象：

1. 用户已完成OAuth2认证流程
2. 后续请求被不断重定向到认证服务器
3. 浏览器开发者工具显示Envoy返回302重定向状态码
4. 认证流程无法正常完成，形成死循环

根本原因

问题的核心在于HMAC验证机制的不一致性：

1. 当不支持刷新令牌时，Envoy仅使用访问令牌和过期时间计算HMAC
2. 但客户端可能携带了之前设置的RefreshToken Cookie
3. 服务端会错误地尝试使用包含刷新令牌的参数计算HMAC
4. 导致计算结果与客户端发送的OauthHMAC不匹配

解决方案

针对此问题，Envoy社区提出了两种解决方案：

1. 主动清理Cookie方案：在OAuth2认证流程中，如果发现当前配置不支持刷新令牌，则主动清除可能存在的RefreshToken Cookie。这种方案简单直接，但需要注意在令牌刷新流程中不要误删有效的刷新令牌。

2. 调整HMAC计算逻辑方案：修改HMAC计算机制，使其在配置不支持刷新令牌时，忽略RefreshToken Cookie的存在。这种方案更灵活，但实现复杂度较高。

最佳实践建议

对于使用Envoy OAuth2过滤器的用户，建议：

1. 在生产环境变更OAuth2配置时，应确保所有客户端会话已过期或相关Cookie已清除
2. 考虑实现会话状态检查机制，在配置变更后主动通知客户端清理过期的Cookie
3. 对于关键业务系统，建议实施灰度发布策略，逐步验证OAuth2配置变更

总结

Envoy代理中的这个OAuth2会话污染问题展示了分布式系统中状态管理的重要性。特别是在安全认证场景下，配置变更和会话状态的同步需要特别谨慎。通过理解这个问题的技术原理，开发者可以更好地设计和实现基于Envoy的认证系统，避免类似问题的发生。