Open WebUI项目中的Microsoft OAuth登录问题分析与解决方案

在Open WebUI 0.6.0版本中，当使用Docker部署在Ubuntu系统上时，用户报告了一个关于Microsoft Azure AD登录认证的问题。具体表现为：当应用程序配置了自定义签名密钥时，系统会提示"邮箱或密码不正确"，同时在控制台日志中会出现"Invalid JSON Web Key Set"的错误信息。

问题背景

Open WebUI当前通过标准的OpenID Connect协议与Microsoft身份认证服务集成。系统默认会从Microsoft的标准终结点获取OpenID配置元数据文档，该文档包含了用于验证JWT令牌的公钥信息(jwks_uri)。然而，当应用程序使用自定义签名密钥时，这一标准流程会出现问题。

技术分析

问题的核心在于密钥集的获取方式。在标准配置下，Open WebUI会从Microsoft的标准终结点获取密钥信息。但当应用程序配置了自定义签名密钥时，必须通过包含应用程序ID(appid)参数的特定终结点来获取正确的密钥集。

Microsoft Azure AD支持两种密钥获取方式：

1. 标准终结点：返回通用的签名密钥
2. 带appid参数的终结点：返回特定应用程序的自定义签名密钥

当前Open WebUI的实现只使用了第一种方式，导致在使用自定义签名密钥时无法正确验证令牌签名。

解决方案

要解决这个问题，需要对Open WebUI的认证流程进行以下修改：

1. 在获取OpenID配置元数据时，应在请求URL中附加appid查询参数
2. 修改后的终结点格式应为：Microsoft标准终结点加上appid参数
3. 这种修改对不使用自定义签名密钥的应用程序完全兼容，系统会回退到使用通用密钥

实施建议

对于开发者而言，可以采取以下步骤进行验证和修复：

1. 检查当前使用的Microsoft认证终结点配置
2. 确保在获取OpenID配置时包含了应用程序ID参数
3. 验证获取的密钥集是否包含自定义签名密钥
4. 测试令牌验证流程是否能够正确处理自定义签名

扩展讨论

值得注意的是，类似的问题也可能出现在其他OAuth2/OIDC集成场景中。当使用nginx作为反向代理时，可能会遇到cookie大小限制的问题。这种情况下，可以考虑：

1. 增加nginx的proxy_buffer_size配置
2. 实现基于Redis的会话存储方案
3. 使用header认证作为替代方案

这些解决方案可以确保认证流程在各种配置下都能稳定工作，特别是在处理较大的认证令牌时。

总结