Ory Hydra中ID Token的email字段在刷新令牌时丢失问题分析

问题背景

在使用Ory Hydra进行OAuth2/OIDC授权流程时，开发人员发现了一个关于ID Token中email字段的特殊行为。当使用刷新令牌(refresh token)获取新的访问令牌时，ID Token中的email字段会意外丢失，特别是在配置了webhook的情况下。

问题现象

在标准的OIDC授权流程中，初始获取的ID Token包含email字段。但当使用刷新令牌获取新的ID Token时，email字段会从ID Token中消失。这个问题在配置了webhook后表现得尤为明显。

技术分析

深入分析这个问题，我们发现其核心在于Ory Hydra处理webhook响应时的机制。当配置了webhook后，系统会将session数据发送到webhook端点，并期望webhook返回更新后的session数据。关键在于：

1. webhook请求中包含完整的session信息，包括id_token_claims中的ext字段（内含email等额外声明）
2. 如果webhook返回空响应，系统会覆盖原有的session数据
3. 即使webhook请求中包含email信息，如果响应中不显式包含，这些字段会被丢弃

解决方案

要解决这个问题，webhook实现需要正确处理session数据的传递：

1. 从请求中提取需要保留的字段（如email）
2. 在响应中明确包含这些字段
3. 可以添加新的字段，但不能忽略需要保留的字段

一个正确的webhook实现应该类似这样：

func claimsHandler(w http.ResponseWriter, r *http.Request) {
    // 解析请求数据
    var data map[string]interface{}
    json.NewDecoder(r.Body).Decode(&data)
    
    // 提取需要保留的字段
    email := extractEmailFromRequest(data)
    
    // 构造响应，明确包含需要保留的字段
    response := map[string]interface{}{
        "session": map[string]interface{}{
            "id_token": map[string]string{
                "email": email,
                // 其他需要保留的字段
            },
        },
    }
    
    json.NewEncoder(w).Encode(response)
}

最佳实践

基于这个问题的分析，我们建议在使用Ory Hydra的webhook功能时：

1. 始终检查webhook请求中的完整session数据
2. 明确处理需要保留的所有字段，而不仅仅是新增字段
3. 在测试阶段验证所有声明字段是否按预期保留
4. 考虑实现字段的自动传递机制，避免手动处理每个字段

总结

这个问题揭示了Ory Hydra中webhook处理机制的一个重要细节。webhook不仅用于添加新数据，也承担着保留现有数据的责任。开发人员需要充分理解这一机制，才能正确实现webhook功能，确保ID Token中包含所有必要的声明字段。