CloudBeaver企业版在子路径部署时的OIDC单点登录配置问题解析

问题背景

在企业环境中，将CloudBeaver企业版部署在子路径（如/cloudbeaver）下并配置OIDC单点登录时，开发人员可能会遇到两个典型问题：

1. 路径重复问题：当同时设置rootURI和服务器URL包含子路径时，系统生成的OIDC登录URL会出现子路径重复（如/cloudbeaver/cloudbeaver/api/openid/provider/signon）

2. 重定向路径缺失问题：如果仅设置rootURI为子路径而服务器URL使用根域名，虽然OIDC流程可以工作，但最终的sso.html重定向会丢失子路径前缀，导致登录后无法正确返回应用

技术原理分析

这个问题的本质在于CloudBeaver的OIDC插件在处理URL路径时存在以下机制：

1. URL拼接逻辑：系统在生成OIDC相关URL时，会基于配置的服务器URL和rootURI进行路径拼接。当两者都包含子路径时，就会产生路径重复

2. 重定向终点配置：OIDC流程完成后的重定向终点（sso.html）路径是硬编码的，没有自动考虑rootURI设置

解决方案

经过技术验证，可以通过修改runtime配置文件中的openid插件配置来解决此问题。具体方法如下：

{
  "app": {
    "plugins": {
      "openid": {
        "signon-finish-uri": "/cloudbeaver/sso.html",
        "signout-finish-uri": "/cloudbeaver/sso.html"
      }
    }
  }
}

配置建议

对于需要在子路径部署CloudBeaver并启用OIDC的企业用户，建议采用以下最佳实践：

1. 服务器URL配置：使用根域名（如https://my.domain.com）作为服务器URL

2. rootURI设置：明确指定子路径（如/cloudbeaver）

3. OIDC插件定制：如上述解决方案所示，显式配置signon和signout的完成URI，确保包含正确的子路径前缀

技术影响

这种配置方式确保了：

• OIDC认证流程能正确初始化
• 认证后的重定向能准确返回子路径下的应用页面
• 系统各组件间的URL拼接逻辑保持一致

总结

CloudBeaver企业版在子路径部署场景下的OIDC集成需要特别注意路径配置问题。通过合理设置服务器URL、rootURI以及显式配置OIDC插件的完成URI，可以构建稳定可靠的单点登录解决方案。这种配置模式也适用于其他需要反向代理或子路径部署的企业级应用场景。