Open WebUI 会话管理异常分析：登出后残留Cookie导致OAuth登录失败

问题现象

在Open WebUI v0.6.5版本中，当用户通过Microsoft OAuth认证登录系统后执行登出操作时，系统未能正确清理oui-session会话Cookie。这导致用户在尝试重新登录时，服务端因检测到残留的会话信息而返回认证错误（"The email or password provided is incorrect"）。

技术背景

现代Web应用通常采用Cookie-Session机制管理用户会话。在OAuth/OIDC流程中，服务提供商（如Microsoft）颁发的身份令牌与本地会话应保持同步。当出现以下情况时可能引发冲突：

1. 客户端保留过期会话标识
2. 服务端会话存储未及时清除
3. OAuth状态参数与会话不匹配

根本原因

通过版本对比测试发现：

1. v0.6.2版本无此问题，说明是v0.6.5引入的回归缺陷
2. 登出时其他Cookie被正确清除，唯独oui-session残留
3. 手动删除该Cookie后登录流程恢复正常

这表明新版本的会话清理逻辑存在缺陷，未能正确处理OAuth场景下的会话终止流程。

影响范围

主要影响特征：

• 使用Docker部署的Open WebUI实例
• 配置了Microsoft OAuth/OIDC认证
• 浏览器环境（特别是Chrome）
• 版本严格限定于v0.6.5

临时解决方案

管理员可采取以下应急措施：

1. 回退至v0.6.2稳定版本
2. 在登出页面添加强制清除Cookie的JavaScript代码
3. 配置Nginx/Apache自动注入Cookie清理指令

长期修复建议

开发团队应重点检查：

1. 会话中间件的destroy()方法实现
2. OAuth回调处理器的会话初始化逻辑
3. Cookie的SameSite和HttpOnly属性配置
4. 服务端会话存储的过期策略

最佳实践

对于OAuth集成场景建议：

1. 实现完整的会话状态验证机制
2. 增加跨版本的回退测试用例
3. 在文档中明确OAuth提供商的特有配置要求
4. 考虑引入会话健康检查中间件

该问题的出现提醒我们在升级认证相关组件时，需要特别关注会话管理的兼容性测试。