Auth0

Diese Anleitung führt Sie durch die Konfiguration von Auth0 als OpenID Connect-Anbieter für LibreChat.

Übersicht

Auth0 kann als OpenID Connect-Anbieter für LibreChat verwendet werden. Wenn Sie Auth0 mit aktivierter Token-Wiederverwendung (OPENID_REUSE_TOKENS=true) nutzen, müssen Sie die Umgebungsvariable OPENID_AUDIENCE konfigurieren, um Authentifizierungsprobleme zu vermeiden.

Voraussetzungen

Ein Auth0-Konto mit einem aktiven Tenant
Administratorzugriff zum Erstellen von Anwendungen und APIs in Auth0
LibreChat Instanz bereit für die Konfiguration

Konfigurationsschritte

Schritt 1: Erstellen einer Auth0-Anwendung

Gehe zu Auth0 Dashboard → Applications → Applications
Klicken Sie auf "Create Application"
Konfigurieren der Anwendung:
- Name: LibreChat (oder Ihr bevorzugter Name)
- Anwendungstyp: Wählen Sie "Single Page Application"
Klicken Sie auf "Create"

Schritt 2: Anwendungseinstellungen konfigurieren

HTTPS erforderlich

Auth0 erlaubt keine http://localhost-URLs in Produktionsanwendungen. Für die lokale Entwicklung/Tests müssen Sie HTTPS verwenden. Sie können Dienste nutzen wie:

ngrok: ngrok http 3080 (stellt einen HTTPS-Tunnel zu localhost bereit)
Caddy: Lokaler HTTPS-Proxy-Server
localtunnel: Ähnlich wie ngrok

Beispiel mit ngrok:

ngrok http 3080
# This will give you a URL like: https://abc123.ngrok.io

In der Einstellungen-Registerkarte Ihrer Anwendung:
Legen Sie die Allowed Callback URLs fest:
https://your-domain.ngrok.io/oauth/openid/callback
(Verwenden Sie Ihre ngrok-URL zum Testen oder Ihre produktive HTTPS-URL)
Legen Sie Allowed Logout URLs fest (falls Sie die Sitzungsbeendigung verwenden):
https://your-domain.ngrok.io
Legen Sie Allowed Web Origins fest:
https://your-domain.ngrok.io
Speichere die Änderungen

Schritt 3: Erstellen einer Auth0-API (Erforderlich für die Token-Wiederverwendung)

Wichtig für die Token-Wiederverwendung

Dieser Schritt ist erforderlich, wenn OPENID_REUSE_TOKENS=true verwendet wird. Ohne diesen Schritt gibt Auth0 opake Tokens zurück, die von LibreChat nicht validiert werden können, was zu endlosen Refresh-Schleifen führt.

Gehe zum Auth0 Dashboard → Applications → APIs
Klicken Sie auf "Create API"
Konfigurieren der API:
- Name: LibreChat API (oder Ihr bevorzugter Name)
- Identifier: https://api.librechat.ai (oder Ihr bevorzugter Identifier)
  - Hinweis: Dies ist lediglich ein eindeutiger Bezeichner, keine tatsächliche URL. Er muss nicht aufrufbar sein.
  - Gängige Muster: https://api.yourdomain.com, https://librechat.yourdomain.com usw.
- Signaturalgorithmus: RS256 (empfohlen)
Klicken Sie auf „Create“

Schritt 4: Offline-Zugriff konfigurieren

Gehen Sie zu den Einstellungen Ihrer API → Zugriffseinstellungen
Aktivieren Sie "Allow Offline Access"
Speichere die Änderungen

Schritt 5: Konfigurationswerte sammeln

Im Abschnitt Basisinformationen Ihrer Auth0-Anwendung finden Sie:

Domain: Wird als dev-example.us.auth0.com angezeigt (Sie müssen das Präfix https:// hinzufügen)
Client ID: Eine lange alphanumerische Zeichenfolge
Client Secret: Standardmäßig ausgeblendet (zum Anzeigen klicken)

Wichtig

Die in Auth0 angezeigte Domain enthält nicht das Präfix https://. Sie müssen es hinzufügen, wenn Sie OPENID_ISSUER konfigurieren.

Beispiel: Wenn Auth0 dev-abc123.us.auth0.com anzeigt, verwenden Sie https://dev-abc123.us.auth0.com

Schritt 6: Konfigurieren der LibreChat Umgebungsvariablen

Fügen Sie die folgenden Umgebungsvariablen zu Ihrer .env Datei hinzu:

# OpenID Connect Configuration
# Domain from Basic Information (add https:// prefix)
OPENID_ISSUER=https://dev-abc123.us.auth0.com
 
# Client ID from Basic Information
OPENID_CLIENT_ID=your_long_alphanumeric_client_id
 
# Client Secret from Basic Information (click to reveal)
OPENID_CLIENT_SECRET=your_client_secret_from_basic_information
 
# Callback URL (must match what's configured in Auth0)
OPENID_CALLBACK_URL=/oauth/openid/callback
 
# Token Configuration
OPENID_REUSE_TOKENS=true
OPENID_SCOPE=openid profile email offline_access
 
# IMPORTANT: Your Auth0 API identifier (from Step 3)
OPENID_AUDIENCE=https://api.librechat.ai
 
# Security Settings (recommended)
OPENID_USE_PKCE=true
 
# Session Configuration (generate a secure random string)
OPENID_SESSION_SECRET=your-secure-session-secret-32-chars-or-more
 
# Optional: Custom button appearance
OPENID_BUTTON_LABEL=Continue with Auth0
# OPENID_IMAGE_URL=https://path-to-auth0-logo.png
 
# If using ngrok for testing, also update:
# DOMAIN_CLIENT=https://your-domain.ngrok.io
# DOMAIN_SERVER=https://your-domain.ngrok.io

Verständnis von OPENID_AUDIENCE

Das Problem

Bei der Verwendung von Auth0 mit OPENID_REUSE_TOKENS=true:

Auth0 gibt standardmäßig opaque access tokens (JWE-Format) zurück
LibreChat erwartet signierte JWT-Tokens (JWS-Format), die validiert werden können
Ohne ordnungsgemäße Konfiguration führt diese Diskrepanz zu Authentifizierungsfehlern und Endlosschleifen bei der Aktualisierung.

Die Lösung

Die OPENID_AUDIENCE Umgebungsvariable:

Muss auf Ihren Auth0 API-Identifier (erstellt in Schritt 3) gesetzt werden
Erzwingt, dass Auth0 signierte JWT-Zugriffstoken anstelle von opaken Token ausstellt
Ermöglicht es LibreChat, Tokens mithilfe des JWKS-Endpunkts von Auth0 zu validieren
Kann durch Kommas getrennte Zielgruppen für die JWT-Validierung enthalten; Auth0-Autorisierungsanfragen verwenden den ersten nicht leeren Wert

Funktionsweise

Wenn OPENID_AUDIENCE konfiguriert ist:

LibreChat enthält den audience-Parameter in Autorisierungsanfragen und verwendet den ersten nicht leeren Wert, wenn mehrere durch Kommas getrennte Audiences konfiguriert sind.
Auth0 erkennt die Audience als registrierte API an
Auth0 stellt JWT-Zugriffstoken aus, die validiert werden können
LibreChat validiert Token erfolgreich und die Authentifizierung funktioniert ordnungsgemäß

Referenz der Umgebungsvariablen

Key	Type	Description	Example
OPENID_AUDIENCE	string	Der Bezeichner Ihrer Auth0 API. Erforderlich bei der Verwendung von OPENID_REUSE_TOKENS=true mit Auth0, um Probleme mit opaken Tokens zu vermeiden. Kommagetrennte Werte werden für die JWT-Validierung akzeptiert; Autorisierungsanfragen verwenden den ersten nicht leeren Wert.	OPENID_AUDIENCE=https://api.librechat.ai

Fehlerbehebung

Endlose Aktualisierungsschleife

Symptome: Die Seite wird nach dem Klicken auf „Continue with OpenID“ kontinuierlich neu geladen

Lösung:

Stellen Sie sicher, dass OPENID_AUDIENCE auf Ihre Auth0-API-Kennung gesetzt ist.
Überprüfen Sie, ob die API in Auth0 erstellt wurde und der Offline-Zugriff aktiviert ist
Überprüfen Sie, dass der audience-Wert exakt übereinstimmt

Fehler bei ungültigen Tokens

Symptome: Authentifizierung schlägt aufgrund von Token-Validierungsfehlern fehl

Lösung:

Debug-Protokollierung aktivieren: DEBUG_OPENID_REQUESTS=true
Stellen Sie sicher, dass Auth0 JWT-Tokens (keine opaken Tokens) zurückgibt
Überprüfen, ob der JWKS endpoint erreichbar ist

Fehlendes Refresh Token

Symptome: Kein Refresh-Token in der Authentifizierungsantwort

Lösung:

Stellen Sie sicher, dass offline_access in OPENID_SCOPE enthalten ist.
Stellen Sie sicher, dass "Allow Offline Access" in Ihren Auth0 API-Einstellungen aktiviert ist.

Best Practices

Immer HTTPS verwenden - Auth0 erfordert HTTPS für alle Callback-URLs
Lokal testen - Verwenden Sie ngrok oder ähnliche Dienste, um HTTPS-Tunnel zu localhost zu erstellen
Sichern Sie Ihr Session-Secret - Verwenden Sie einen starken, zufälligen Wert für OPENID_SESSION_SECRET
PKCE aktivieren - Setzen Sie OPENID_USE_PKCE=true für erhöhte Sicherheit
Callback-URLs einschränken - Erlauben Sie in den Auth0-Einstellungen nur Ihre tatsächliche Domain
Logs überwachen - Verwenden Sie DEBUG_OPENID_REQUESTS=true während der Einrichtung
API-Bezeichner – Denken Sie daran, dass es sich nur um einen Bezeichner handelt, nicht um einen tatsächlichen endpoint, der existieren muss.