Traefik-oidc-auth插件与Authentik集成中的公钥问题解析

Traefik-oidc-auth插件与Authentik集成中的公钥问题解析

traefik-oidc-auth 🧩 A traefik Plugin for securing the upstream service with OpenID Connect acting as a relying party. 项目地址: https://gitcode.com/gh_mirrors/tr/traefik-oidc-auth

在基于Traefik的现代微服务架构中，OIDC认证是保护应用安全的常见方案。本文将以traefik-oidc-auth插件与Authentik的集成为例，深入分析一个典型的"no public keys found"错误及其解决方案。

问题现象

当用户尝试通过Authentik SSO保护Traefik仪表板时，系统在成功完成身份验证后返回了关键错误：

1. 初始错误显示"no public Keys found"
2. 日志中出现状态cookie读取失败和令牌验证失败的记录
3. 访问JWKS端点时返回空响应{}

技术背景

OIDC协议依赖JWKS(JSON Web Key Set)端点提供公钥信息用于JWT验证。正常情况下，身份提供者(如Authentik)应当通过/.well-known/jwks.json或类似端点暴露公钥集合。traefik-oidc-auth插件会：

1. 从配置的Provider URL发现端点
2. 获取JWKS公钥集合
3. 使用对应算法验证JWT签名

根本原因分析

通过技术排查发现两个关键问题：

1. 证书配置缺失
   Authentik未配置有效的签名证书，导致JWKS端点返回空响应。这是造成"no public keys found"错误的直接原因。

2. 声明映射错误
   插件配置中使用了roles声明进行授权检查，而Authentik默认使用groups声明传递用户组信息。这种声明名称不匹配导致授权检查失败。

解决方案

1. 完善Authentik证书配置

   • 在Authentik管理界面为OAuth2提供者配置有效的签名证书
   • 确保证书类型为RSA，算法为RS256
   • 验证JWKS端点返回有效的公钥集合

2. 调整声明映射配置

Authorization:
  AssertClaims:
    - Name: "groups"  # 修改为Authentik实际使用的声明名称
      AllOf: ["Traefik - Admins"]

3. 配置验证技巧
   • 使用独立的测试路由验证基础OIDC流程
   • 先不配置授权规则，确保认证流程正常
   • 逐步添加授权规则，验证声明映射

最佳实践建议

1. 证书管理

   • 定期轮换签名证书
   • 确保证书包含完整的x509链
   • 监控JWKS端点可用性

2. 声明映射

   • 通过OIDC discovery端点了解提供者的声明规范
   • 使用标准声明(preferred_username, email等)提高兼容性
   • 在Authentik中明确配置需要传递的声明

3. 调试技巧

   • 启用traefik的DEBUG日志级别
   • 使用jwt.io等工具手动验证返回的令牌
   • 检查网络连通性(特别是容器间通信)

通过以上措施，可以构建稳定可靠的Traefik OIDC认证体系，为微服务架构提供企业级的安全保障。

traefik-oidc-auth 🧩 A traefik Plugin for securing the upstream service with OpenID Connect acting as a relying party. 项目地址: https://gitcode.com/gh_mirrors/tr/traefik-oidc-auth