Token 响应中缺少 ID Token 或返回内容无法解析 - 如何解决此 Elasticsearch 异常

适用版本： 7.x-8.x

1. 错误异常的基本描述 #

Token Response did not contain an ID Token or parsing of the response failed 表示 Elasticsearch 的 OIDC 安全域（Realm）在调用身份提供商（IdP）的 Token Endpoint 后，未能从响应中提取到合法的 id_token，或者响应体的结构不符合 OIDC 规范导致解析失败。这是 Elasticsearch 安全模块在认证流程中抛出的 ElasticsearchSecurityException。

常见现象 #

• 用户访问 Kibana 或 Elasticsearch 的 OIDC 登录入口后，重定向流程正常完成，但在 Token 交换阶段登录失败。
• Elasticsearch 日志中出现 Token Response did not contain an ID Token or parsing of the response failed 异常，并伴随认证失败响应。
• 客户端（浏览器或 OAuth2 客户端）可能收到 401 Unauthorized 或重定向回登录页的循环。
• 在 IdP 侧授权码（Authorization Code）已成功颁发，但 Elasticsearch 无法完成后续的 Token 交换。

典型报错与异常栈 #

日志中通常包含以下形式的异常信息：

ElasticsearchSecurityException: Token Response did not contain an ID Token or parsing of the response failed.
Caused by: java.lang.IllegalArgumentException: id_token not found in token response
at org.elasticsearch.xpack.security.authc.oidc.OpenIdConnectAuthenticator...

2. 为什么会发生这个错误 #

Elasticsearch 的 OIDC Realm 严格遵循 OpenID Connect 规范。当使用授权码流程（Authorization Code Flow）时，Elasticsearch 需要用授权码向 IdP 的 Token Endpoint 发起请求，并期望响应中包含 id_token 字段。如果响应体不符合预期，就会触发该异常。

常见原因包括：

• IdP 未返回 id_token：IdP 的配置只启用了 OAuth2（而非 OIDC），或者应用（Client）未开启 OIDC 功能，导致 Token Endpoint 只返回 access_token 和 refresh_token，不包含 id_token。
• 授权请求缺少 openid scope：OIDC 规范要求 scope 中必须包含 openid，否则 IdP 不会签发 ID Token。如果客户端或 Elasticsearch 配置中遗漏了该 scope，也会导致此问题。
• 响应体被中间层改写：企业环境中常见的 API 网关、反向代理、WAF 或自定义插件可能对 Token Endpoint 的响应做了改写、包装或压缩，导致 Elasticsearch 无法按标准 JSON 结构解析出 id_token。
• Token Endpoint URL 配置错误：Elasticsearch 中配置的 op.token_endpoint 指向了错误的地址（例如指向了 OAuth2 的 Token 端点而非 OIDC 的 Token 端点），返回格式自然不符合预期。
• IdP 返回了错误响应：授权码已过期、被重复使用，或 IdP 返回了 error 字段而非正常的 Token 响应，Elasticsearch 在解析时同样会失败。

3. 如何排查和解决这个异常 #

建议按以下步骤逐一排查：

1. 抓取 Token Endpoint 的原始响应：在 Elasticsearch 节点上使用 curl 或抓包工具，模拟完整的 Token 交换请求，查看 IdP 返回的原始 JSON 内容。

   curl -X POST "https://idp.example.com/oauth2/token" \
     -H "Content-Type: application/x-www-form-urlencoded" \
     -u "client_id:client_secret" \
     -d "grant_type=authorization_code&code=<auth_code>&redirect_uri=https://es.example.com"
   

   确认响应中是否存在 id_token 字段。

2. 检查授权请求中的 scope 配置：查看 Elasticsearch 的 OIDC Realm 配置（elasticsearch.yml）中是否包含 openid scope：

   xpack.security.authc.realms.oidc.oidc1:
     order: 2
     issuer: "https://idp.example.com"
     client_id: "elasticsearch-client"
     client_secret: "xxx"
     redirect_uri: "https://es.example.com/api/security/oidc/callback"
     op.authorization_endpoint: "https://idp.example.com/oauth2/authorize"
     op.token_endpoint: "https://idp.example.com/oauth2/token"
     op.userinfo_endpoint: "https://idp.example.com/oauth2/userinfo"
     op.endsession_endpoint: "https://idp.example.com/logout"
     rp.post_logout_redirect_uri: "https://es.example.com"
   

   同时在 IdP 侧确认应用注册的 scope 包含 openid。

3. 核对 IdP 应用类型：确认 IdP 中的应用配置为 OIDC 应用（而非单纯的 OAuth2 应用）。不同 IdP 的命名可能不同，例如在 Okta 中使用「OpenID Connect」应用，在 Keycloak 中确认 Client 的 Standard Flow Enabled 已开启。

4. 检查中间层是否存在响应改写：如果 Token Endpoint 前面有网关、WAF 或代理，检查是否有响应体改写规则。可以先绕过中间层，直接由 Elasticsearch 节点访问 IdP 的 Token Endpoint 进行验证。

5. 查看 Elasticsearch 安全日志：在 elasticsearch.yml 中临时开启调试日志，获取更详细的 OIDC 交互信息：

   logger.org.elasticsearch.xpack.security.authc.oidc: DEBUG
   

4. 如何解决这个错误 #

常用修复思路 #

• 确保使用 OIDC 流程而非纯 OAuth2：在 IdP 侧将应用类型切换为 OIDC，并确认 id_token 会在 Token 响应中签发。
• 修正 scope 配置：在 Elasticsearch 的 OIDC Realm 配置和 IdP 应用配置中，确保 openid 是 scope 的一部分。
• 验证 Token Endpoint URL 的正确性：确认 op.token_endpoint 指向的是 IdP 的 OIDC Token 端点，而非其他不兼容的端点。
• 让中间层透明转发 Token 响应：如果使用了 API 网关或 WAF，配置其不对 Token Endpoint 的响应体做改写、包装或格式转换。
• 检查授权码的有效性：确保授权码未被重复使用，且没有在传输过程中被截断或损坏。

后续注意事项与推荐建议 #

• 在 IdP 侧启用 OIDC 调试日志，便于在认证失败时快速定位是 IdP 侧还是 Elasticsearch 侧的问题。
• 为 OIDC 认证流程建立监控，关注登录失败率和 Token 交换错误，及时发现配置漂移。
• 在变更 IdP 配置（如升级、迁移、切换应用类型）之前，先在测试环境验证完整的 OIDC 授权码流程。

借助 INFINI 产品提升排障效率 #

• INFINI Console 适合查看 Elasticsearch 集群的安全配置、审计日志和认证失败趋势，帮助快速判断 OIDC 异常的影响范围。
• INFINI Gateway 可以部署在 Elasticsearch 前面，对 OIDC 相关请求做透明代理和日志记录，捕捉 Token Endpoint 交互的原始请求和响应，方便排查中间层改写问题。
• 将 OIDC 认证日志、IdP 响应样本和 Elasticsearch 安全事件统一接入监控面板，可以显著缩短从「登录失败」到「定位根因」的时间。

5. 小结 #

Token Response did not contain an ID Token or parsing of the response failed 的核心问题是 Token Endpoint 的返回体不符合 OIDC 规范——要么是 id_token 根本不存在，要么是响应格式被改动导致解析失败。排查时应优先直接检查 IdP 的原始响应，确认 id_token 是否存在，再反向核对 scope 配置、应用类型和中间层行为。只要保证 OIDC 流程完整、响应透明转发，这类异常通常可以稳定修复。

相关错误 #

• Token 响应中缺少 ID Token 或 JWT 解析失败
• 交换授权码获取 ID Token 失败
• 交换授权码获取 ID Token 失败，Code=，Description=

附：日志上下文 #

throw new ElasticsearchSecurityException(
    "Token Response did not contain an ID Token or parsing of the response failed."
);