AKHQ项目中JWT Cookie大小溢出的解决方案

背景与问题分析

在AKHQ项目中，当使用基于REST的外部角色映射功能时，系统会将所有映射后的用户组信息编码到JWT令牌中。这些组信息包含了大量主题访问模式，导致生成的JWT令牌体积过大。

由于这些JWT令牌会被存储在浏览器cookie中，而主流浏览器对单个cookie的大小限制通常为4KB左右（经过BASE64编码和gzip压缩后仍可能超出限制），这就导致了严重的功能性问题。用户如果拥有大量主题访问权限时，系统将无法正常工作。

技术实现原理

传统实现中，AKHQ在用户登录时通过以下流程处理权限：

1. 用户通过OIDC等方式认证
2. 系统立即调用外部角色映射服务获取所有权限组
3. 将这些组信息编码到JWT中
4. 将JWT存储在用户cookie中

这种实现方式的主要问题在于过早地将所有权限信息编码到令牌中，导致cookie体积膨胀。

优化方案设计

经过社区讨论，最终确定的优化方案采用了延迟加载和缓存机制：

1. 延迟权限解析：不再在登录时立即解析所有权限，而是保留原始JWT中的必要信息
2. 按需权限检查：在每次请求时，根据原始JWT信息动态获取当前用户权限
3. 本地缓存优化：引入Caffeine缓存机制，避免频繁调用外部角色映射服务

实现细节

核心改动包括：

1. 修改OIDC用户详情映射逻辑，保留原始组信息而非立即解析
2. 实现基于请求的权限检查机制，动态获取当前用户权限
3. 添加Caffeine缓存层，缓存外部角色映射结果
4. 确保向后兼容性，支持直接OIDC映射和外部映射两种模式

性能考量

新方案虽然增加了每次请求时的权限检查开销，但通过以下方式进行了优化：

1. 高效的缓存机制减少外部调用
2. 本地内存缓存响应迅速
3. 避免了大型cookie的网络传输开销

多实例部署考虑

在多个AKHQ实例的部署环境下，方案设计确保了：

1. 每个实例独立维护自己的缓存
2. 基于原始JWT进行权限验证，不依赖实例间的状态同步
3. 缓存失效策略保证权限变更能够及时生效

总结

通过重构权限检查流程，AKHQ项目成功解决了JWT cookie大小溢出的问题。新方案不仅解决了技术限制，还通过缓存机制优化了系统性能，为大规模部署提供了更好的支持。这一改进特别适合拥有大量主题和复杂权限配置的Kafka集群管理场景。

该方案已在社区版本中合并，用户升级后即可获得这些改进，无需额外配置即可享受更稳定和高效的使用体验。