FreshRSS中OIDC/oAuth会话持久化问题的解决方案

背景概述

FreshRSS作为一款开源的RSS阅读器，支持通过OIDC/oAuth协议进行身份验证。但在实际使用中，用户反馈存在会话保持时间过短的问题，需要频繁重新登录，这显著影响了用户体验。本文将深入分析问题原因并提供完整的解决方案。

问题分析

通过技术排查发现，FreshRSS默认使用Apache的mod_auth_openidc模块处理OIDC认证，但存在以下关键问题：

1. 会话超时机制：默认会话持续时间较短（约8小时）
2. 配置加载问题：Docker环境下配置文件修改未生效
3. 持久化机制：默认使用服务端缓存而非持久化cookie

技术原理

mod_auth_openidc模块提供多个关键参数控制会话行为：

• OIDCSessionInactivityTimeout：会话不活动超时时间（秒）
• OIDCSessionMaxDuration：会话最大持续时间（秒）
• OIDCSessionType：会话存储类型（支持服务端缓存或客户端cookie）
• OIDCRefreshAccessTokenBeforeExpiry：令牌刷新时间

解决方案

完整配置步骤

1. 创建自定义Apache配置文件：

OIDCSessionInactivityTimeout 2592000  # 30天
OIDCSessionMaxDuration 2592000
OIDCRefreshAccessTokenBeforeExpiry 2592000
OIDCSessionType client-cookie:persistent:store_id_token

2. Docker部署配置：

volumes:
  - /path/to/custom.conf:/var/www/FreshRSS/Docker/FreshRSS.Apache.conf:ro
  - /path/to/custom.conf:/etc/apache2/sites-enabled/FreshRSS.Apache.conf:ro
  - /path/to/custom.conf:/etc/apache2/sites-available/FreshRSS.Apache.conf:ro

3. 验证配置生效：

• 检查Apache错误日志
• 测试短时间超时设置（如60秒）验证配置是否生效
• 观察浏览器cookie的过期时间

技术要点

1. 会话类型选择：

   • client-cookie:persistent：使用持久化cookie
   • :store_id_token：存储ID令牌用于注销

2. 时间参数设置：

   • 建议值2592000秒（30天）
   • 0值表示使用ID令牌的过期时间

3. Docker特定配置：

   • 需要覆盖多个配置文件路径
   • 确保使用只读(ro)挂载

最佳实践建议

1. 生产环境建议设置合理的超时时间（如7-30天）
2. 定期检查令牌刷新机制是否正常工作
3. 对于高安全需求场景，可适当缩短超时时间
4. 建议配合日志监控验证配置效果

通过以上配置，可有效解决FreshRSS在使用OIDC/oAuth认证时的会话持久化问题，显著提升用户体验。