无法从WSO2 IS 5.0.0发出有效的访问令牌

Question

我正在运行WSO2 IS 5.0.0。我已经为IS 5.0.0应用了SP以及为该版本为Identity Server和Carbon 4.2.0发布的所有其他安全补丁。我的环境由4台创建集群的机器组成（使用WKA成员资格方案和带有粘性会话的负载均衡器）。我正在使用MySQL（不是默认的H2数据库）。部署IS的计算机是Windows Server 2012 R2（EC2 AWS计算机）。 PRODUCT_HOME / repository / conf / identity.xml具有以下配置：

    <JDBCPersistenceManager>
    <DataSource>
        <Name>jdbc/WSO2CarbonDB</Name>
    </DataSource>
    <SessionDataPersist>
        <Enable>true</Enable>
        <RememberMePeriod>20060</RememberMePeriod>
        <CleanUp>
            <Enable>true</Enable>
            <Period>1440</Period>
            <TimeOut>20160</TimeOut>
        </CleanUp>
        <Temporary>false</Temporary>
    </SessionDataPersist>
</JDBCPersistenceManager>
<SessionContextCache>
    <Enable>true</Enable>
    <Capacity>100000</Capacity>
</SessionContextCache>
<OAuth>
    <AuthorizationCodeDefaultValidityPeriod>300</AuthorizationCodeDefaultValidityPeriod>
    <AccessTokenDefaultValidityPeriod>1800</AccessTokenDefaultValidityPeriod>
    <UserAccessTokenDefaultValidityPeriod>1800</UserAccessTokenDefaultValidityPeriod>
    <RefreshTokenValidityPeriod>31540000</RefreshTokenValidityPeriod>
    <TimestampSkew>10</TimestampSkew>
    <EnableOAuthCache>false</EnableOAuthCache>
    <RenewRefreshTokenForRefreshGrant>true</RenewRefreshTokenForRefreshGrant>
</OAuth>

我偶尔会在Identity Server控制台日志中收到以下错误（使用client_credentials grant type和openid scope发出访问令牌时）：

ERROR {org.wso2.carbon.identity.openidconnect.DefaultIDTokenBuilder} -  Error occurred while getting access token based information
ERROR {org.wso2.carbon.identity.oauth2.OAuth2Service} -  Error when issuing the access token.
    org.wso2.carbon.identity.oauth2.IdentityOAuth2Exception: Error occurred while getting access token based information
    at org.wso2.carbon.identity.openidconnect.DefaultIDTokenBuilder.getAccessTokenIssuedTime(DefaultIDTokenBuilder.java:348)
    at org.wso2.carbon.identity.openidconnect.DefaultIDTokenBuilder.buildIDToken(DefaultIDTokenBuilder.java:141)
    at org.wso2.carbon.identity.oauth2.token.AccessTokenIssuer.issue(AccessTokenIssuer.java:212)
    at org.wso2.carbon.identity.oauth2.OAuth2Service.issueAccessToken(OAuth2Service.java:177)
    at org.wso2.carbon.identity.oauth.endpoint.token.OAuth2TokenEndpoint.getAccessToken(OAuth2TokenEndpoint.java:233)
    at org.wso2.carbon.identity.oauth.endpoint.token.OAuth2TokenEndpoint.issueAccessToken(OAuth2TokenEndpoint.java:108)
    at sun.reflect.GeneratedMethodAccessor57.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
    at java.lang.reflect.Method.invoke(Method.java:606)
    at org.apache.cxf.service.invoker.AbstractInvoker.performInvocation(AbstractInvoker.java:180)
    at org.apache.cxf.service.invoker.AbstractInvoker.invoke(AbstractInvoker.java:96)
    at org.apache.cxf.jaxrs.JAXRSInvoker.invoke(JAXRSInvoker.java:194)
    at org.apache.cxf.jaxrs.JAXRSInvoker.invoke(JAXRSInvoker.java:100)
    at org.apache.cxf.interceptor.ServiceInvokerInterceptor$1.run(ServiceInvokerInterceptor.java:57)
    at org.apache.cxf.interceptor.ServiceInvokerInterceptor.handleMessage(ServiceInvokerInterceptor.java:93)
    at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:271)
    at org.apache.cxf.transport.ChainInitiationObserver.onMessage(ChainInitiationObserver.java:121)
    at org.apache.cxf.transport.http.AbstractHTTPDestination.invoke(AbstractHTTPDestination.java:239)
    at org.apache.cxf.transport.servlet.ServletController.invokeDestination(ServletController.java:223)
    at org.apache.cxf.transport.servlet.ServletController.invoke(ServletController.java:203)
    at org.apache.cxf.transport.servlet.ServletController.invoke(ServletController.java:137)
    at org.apache.cxf.transport.servlet.CXFNonSpringServlet.invoke(CXFNonSpringServlet.java:159)
    at org.apache.cxf.transport.servlet.AbstractHTTPServlet.handleRequest(AbstractHTTPServlet.java:286)
    at org.apache.cxf.transport.servlet.AbstractHTTPServlet.doPost(AbstractHTTPServlet.java:206)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:755)
    at org.apache.cxf.transport.servlet.AbstractHTTPServlet.service(AbstractHTTPServlet.java:262)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:305)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:210)
    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:222)
    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:123)
    at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:472)
    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:171)
    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:99)
    at org.wso2.carbon.tomcat.ext.valves.CompositeValve.continueInvocation(CompositeValve.java:178)
    at org.wso2.carbon.tomcat.ext.valves.CarbonTomcatValve$1.invoke(CarbonTomcatValve.java:47)
    at org.wso2.carbon.webapp.mgt.TenantLazyLoaderValve.invoke(TenantLazyLoaderValve.java:56)
    at org.wso2.carbon.tomcat.ext.valves.TomcatValveContainer.invokeValves(TomcatValveContainer.java:47)
    at org.wso2.carbon.tomcat.ext.valves.CompositeValve.invoke(CompositeValve.java:141)
    at org.wso2.carbon.tomcat.ext.valves.CarbonStuckThreadDetectionValve.invoke(CarbonStuckThreadDetectionValve.java:156)
    at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:936)
    at org.wso2.carbon.tomcat.ext.valves.CarbonContextCreatorValve.invoke(CarbonContextCreatorValve.java:52)
    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:118)
    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:407)
    at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1004)
    at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:589)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1653)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
    at java.lang.Thread.run(Thread.java:745)

我仍在尝试隔离导致系统以这种方式运行的确切方案。 在Identity Server控制台日志中记录此特定错误时，我在http_access日志中获得以下内容（PRODUCT_HOME / repository / logs / http_access_DATE.log）

172.31.26.60 - - [09/Sep/2016:07:18:28 +0000] "POST /oauth2/token?grant_type=client_credentials&scope=openid HTTP/1.1" 400 82 "-" "-"

作为最终结果，我收到以下内容作为回复：

error: "server_error"
error_description: "Error when issuing the access token"

我尝试通过将EnableOAuthCache设置为TRUE来更新PRODUCT_HOME / repository / conf / identity.xml文件：

<EnableOAuthCache>true</EnableOAuthCache>

然后我重新启动了所有Identity Server实例（正如我所提到的，我在WKA集群中有4台机器）。一切顺利，直到有一天我们开始接收无效的访问令牌 在深入研究这个特定问题后，我能够发现由于某种原因，Identity Server返回了两个访问令牌。一个是有效的，另一个不是。我仍然使用完全相同的POST请求来检索具有client_credentials授权类型的访问令牌。通常在发出访问令牌后，我正在对 userinfo 端点执行get请求，结果发现只有一个访问令牌有效。
上面提到的也是随机发生的。通常在10-15分钟后，不再返回无效令牌并且系统稳定。 遇到问题时，Identity Server控制台日志中会记录以下内容：

ERROR{org.wso2.carbon.identity.oauth2.dao.TokenPersistenceTask} -  org.wso2.carbon.identity.oauth2.IdentityOAuth2Exception: Error when getting an Identity Persistence Store instance.

没有其他信息或堆栈跟踪 数据库中也不存在返回的无效访问令牌。
我的系统依赖于这些访问令牌，当我无法检索这些令牌或检索无效令牌而无法调用 userinfo 端点时，我遇到了停机时间。最后一次约15-20分钟 所以我的问题是：
 1.有其他人观察过这种行为还是已知问题？如果有的话，是否有适用的解决方法或某种可以应用的补丁？  2.如果不是，您认为这可能是某种配置问题吗？如果是的话，您认为应该修改哪些配置文件？  3.您认为此行为可能与WKA群集配置有关吗？  4.您认为这可能与MySQL的使用有关吗？

感谢您的时间和考虑。