OAuth2-Proxy中OIDC认证重定向丢失connection参数问题分析

在OAuth2-Proxy 7.6.0版本中，使用OIDC认证时存在一个参数传递问题。当用户配置login_url包含connection参数时，该参数在最终的重定向请求中会被意外丢弃，导致认证流程无法按预期工作。

问题现象

在配置OAuth2-Proxy与Auth0集成时，开发者需要传递connection参数来指定特定的身份提供商连接。例如，开发者可能在配置文件中这样设置：

login_url="https://dev-mydomain.us.auth0.com/authorize?connection=CiLogon-Braingeneers&client_id=..."

然而，当OAuth2-Proxy生成最终的重定向URL时，connection参数没有被包含在内。这使得身份认证流程无法正确识别应该使用的连接方式。

技术原理分析

OAuth2-Proxy在处理OIDC认证请求时，会通过makeLoginURL函数构造最终的认证URL。该函数的实现逻辑如下：

1. 复制基础LoginURL
2. 设置几个标准OAuth2参数（redirect_uri, scope, client_id等）
3. 合并额外的参数（extraParams）
4. 生成最终的URL查询字符串

问题出在函数没有保留原始URL中的非标准参数。当前实现只保留了几个硬编码的标准参数，而忽略了开发者可能在login_url中配置的其他自定义参数。

影响范围

这个问题主要影响以下场景：

• 使用Auth0等需要额外参数的身份提供商
• 需要指定特定连接方式的OIDC集成
• 依赖自定义参数进行认证流程控制的场景

解决方案建议

针对这个问题，可以考虑以下几种解决方案：

1. 参数保留方案：修改makeLoginURL函数，使其保留原始URL中的所有查询参数，而不仅仅是硬编码的几个标准参数。

2. 显式参数支持：如果connection是一个常用参数，可以将其加入标准参数列表，在函数中显式处理。

3. 配置项方案：增加专门的配置项来设置connection参数，而不是通过login_url传递。

从代码维护性和扩展性角度考虑，第一种方案更为合理，因为它可以解决所有自定义参数传递的问题，而不仅仅是connection参数。

临时解决方案

在官方修复发布前，开发者可以通过以下方式临时解决：

1. 使用自定义构建版本，修改makeLoginURL函数
2. 考虑使用其他认证参数传递方式（如cookie）
3. 在反向代理层添加缺失的参数

总结

OAuth2-Proxy当前版本在处理OIDC认证重定向时存在参数传递不完整的问题，特别是对于非标准参数如connection。这个问题影响了需要特定认证连接的集成场景。建议开发团队考虑修改参数处理逻辑，使其能够保留所有原始URL参数，而不仅仅是标准OAuth2参数。