Kanidm OIDC 1.6.x版本用户信息端点验证问题分析

问题背景

Kanidm作为开源身份管理系统，在1.6.0和1.6.1版本中出现了OIDC用户信息端点(userinfo)的验证问题。该问题影响了多个集成系统，包括Forgejo和oauth2-proxy等应用的正常认证流程，而Grafana和其他部分应用则不受影响。

问题现象

当客户端应用尝试通过OIDC协议获取用户信息时，Kanidm服务器会返回400错误。从日志中可以观察到关键错误信息："JWS is signed by a key that is not present in this KeyObject"和"Unable to verify access token | err: KP0022KeyObjectJwsNotAssociated"。

技术分析

根本原因

该问题源于Kanidm 1.6.x版本中OAuth2令牌签名密钥的加载和验证机制变更。具体表现为：

1. 服务器无法正确加载或识别用于验证访问令牌的密钥
2. 当客户端使用PKCE(Proof Key for Code Exchange)流程时更容易触发此问题
3. 临时解决方案(如重建OAuth2客户端)只能短暂有效，服务器重启后问题重现

影响范围

• 受影响应用：主要影响使用PKCE流程的现代OIDC客户端
• 不受影响应用：部分传统认证方式的应用(如Grafana)和自定义实现的应用

解决方案

开发团队已定位问题并提交修复PR。对于遇到此问题的用户，建议：

1. 关注Kanidm项目更新，及时升级到包含修复的版本
2. 临时方案可尝试重建OAuth2客户端(但需注意重启后失效)
3. 检查客户端配置，确保使用正确的管理员权限(idm_admin而非普通admin)查看密钥信息

技术启示

该案例展示了身份认证系统中密钥管理的重要性。OIDC协议的安全性依赖于密钥的正确加载和验证，任何环节的异常都可能导致整个认证流程失败。开发者在升级身份管理系统时，应特别注意密钥管理和验证机制的变更可能带来的兼容性问题。

对于系统集成方，建议在测试环境中充分验证新版本的身份认证流程，特别是涉及PKCE等现代安全特性的场景，确保业务连续性。