Не удается настроить ключ доступа ни в одном экземпляре Discourse

agr · 04.Март.2026 18:14:26

Когда я использую оборудование, которое мне не принадлежит, я хочу использовать аппаратный ключ вместо ввода пароля. Для этой цели у меня есть Nitrokey 3C.

Регистрация на Discourse не удаётся. То же самое происходит и здесь, на meta.discourse.org.

P.S. Регистрация ключа в качестве второго фактора прошла успешно в Linux (Debian) + Chromium, но при попытке входа это не работает.

supermathie · 04.Март.2026 19:16:32

Какой браузер вы используете?

Какое сообщение об ошибке вы получаете?

Есть ли какие-либо дополнительные сведения в консоли разработчика?

agr · 04.Март.2026 20:04:28

Это происходит в Chromium на Debian (то же самое в Firefox на Ubuntu; также в Firefox Nightly (snap) на Debian).

После нажатия кнопки на клавиатуре появляется сообщение:

«Процесс регистрации ключа доступа либо истек по времени, был отменен или не разрешен».

Сообщение об ошибке не помогает; в консоли ничего особенного нет.

Запрос к https://meta.discourse.org/u/register_passkey.json возвращает HTTP 500 с телом {“status”:500,“error”:“Internal Server Error”}.

Поможет ли предоставить данные запроса?

id=owBYLgKCahnu_YBKKDAaTdK7LOlDFzwJ9kJPvXfntmdfbyOzs35ddeOM0KnNqHiu6bwBTLu17fF2A7QkNfCE5wJQPdOrG5MIB-9Hek6KoX4wcA
rawId=owBYLgKCahnu/YBKKDAaTdK7LOlDFzwJ9kJPvXfntmdfbyOzs35ddeOM0KnNqHiu6bwBTLu17fF2A7QkNfCE5wJQPdOrG5MIB+9Hek6KoX4wcA==
type=public-key
attestation=o2NmbXRkbm9uZWdhdHRTdG10oGhhdXRoRGF0YVjB06zu7aykTbz9dy22doBbDg8EboPkWBAWR4JLQn8z1TTFAAAAewAAAAAAAAAAAAAAAAAAAAAAUqMAWC4CgmoZ7v2ASigwGk3SuyzpQxc8CfZCT71357ZnX28js7N+XXXjjNCpzah4rum8AUy7te3xdgO0JDXwhOcCUD3TqxuTCAfvR3pOiqF+MHCkAQEDJyAGIVggy/MDuHan5fRjuKIQp7zkGku7P6p/8s2B4kfectFHcF6ha2htYWMtc2VjcmV09A==
clientData=eyJ0eXBlIjoid2ViYXV0aG4uY3JlYXRlIiwiY2hhbGxlbmdlIjoiTmpRMVpUazJaVE00WlRRNE1UZGxOamd3TVdJNE5XVm1ZV1F5TkRObE1EVmlZek0zTURkbU1qZzJPR1V6TnpRd05HUmxZamRrTVdRMk1tWTEiLCJvcmlnaW4iOiJodHRwczovL21ldGEuZGlzY291cnNlLm9yZyIsImNyb3NzT3JpZ2luIjpmYWxzZX0=
name=Main Passkey

supermathie · 04.Март.2026 21:19:05

Это работает на https://webauthn.io/?

agr · 04.Март.2026 21:28:29

да, регистрация и аутентификация

supermathie · 04.Март.2026 21:33:41

Я только что попытался зарегистрировать новый ключ U2F здесь, на Meta, и в консоли увидел эту ошибку, которая, вероятно, объясняет проблему:

NotAllowedError: Операция либо истекла по времени, либо не была разрешена.
  См.: https://www.w3.org/TR/webauthn-2/#sctn-privacy-considerations-client.

agr · 04.Март.2026 21:56:11

Я не понимаю описание ошибки на w3.org. Значит ли это, что реализация сломана? Я не вижу ошибки в консоли, так что могу ли я чем-то помочь?

supermathie · 04.Март.2026 21:57:51

Нам нужно будет это изучить — думаю, браузеры внедрили дополнительные требования (как указано в ссылке), с тех пор как мы впервые разработали это.

keegan · 05.Март.2026 17:53:35

Спасибо @agr за выявление этой проблемы, я исправил её здесь:

github.com/discourse/discourse

FIX: passkey registration failing when extension data included (#38266)

main ← fix-hardware-passkeys

merged 05:51PM - 05 Mar 26 UTC

keegangeorge

+32 -8

**Currently, passkey registration has two bugs:** 1. Registration fails with …an HTTP 500 for authenticators that include extension data (i.e. `hmac-secret` in their attestation response) because we slice all bytes after the credential ID the public key. 2. Registration fails with `NotAllowedError` on some hardware keys (i.e. Solo 2) because `pubKeyCredParams` includes invalid HMAC symmetric algorithms from the `COSE` gem, which strict authenticator firmware rejects. **This fix:** 1. Uses `CBOR::Unpacker` streaming decode to read exactly one `CBOR` object from the byte stream, stopping before any trailing extension data. Also adds `COSE::MalformedKeyError` to the rescue block so future failures return a proper error response. 2. Replaces the blanket `COSE::Algorithm.registered_algorithm_ids` with an explicit list of asymmetric signature algorithms valid for `WebAuthn`. Meta bug report: https://meta.discourse.org/t/cant-set-up-passkey-on-any-discourse/397642/

Обновление вашего Discourse до последней версии должно решить проблему, но если вы всё ещё столкнётесь с какими-либо трудностями, пожалуйста, сообщите нам об этом.

agr · 05.Март.2026 20:08:14

Регистрация прошла успешно. Это было быстро

Но при входе / auth.js я получаю ответ 500

supermathie · 05.Март.2026 21:55:10

Подтверждаю; я вижу:

NoMethodError (undefined method 'hash_function' for an instance of COSE::Algorithm::EdDSA)
 lib/discourse_webauthn/authentication_service.rb:99:in 'DiscourseWebauthn::AuthenticationService#authenticate_security_key'
 app/controllers/session_controller.rb:399:in 'SessionController#passkey_login'
 app/controllers/application_controller.rb:443:in 'block in ApplicationController#with_resolved_locale'
 app/controllers/application_controller.rb:443:in 'ApplicationController#with_resolved_locale'
 app/controllers/application_controller.rb:1089:in 'ApplicationController#ensure_dont_cache_page'
 lib/middleware/omniauth_bypass_middleware.rb:35:in 'Middleware::OmniauthBypassMiddleware#call'
 lib/middleware/crawler_hooks.rb:11:in 'Middleware::CrawlerHooks#call'
 lib/content_security_policy/middleware.rb:12:in 'ContentSecurityPolicy::Middleware#call'
 lib/middleware/anonymous_cache.rb:420:in 'Middleware::AnonymousCache#call'
 lib/middleware/csp_script_nonce_injector.rb:12:in 'Middleware::CspScriptNonceInjector#call'
 config/initializers/008-rack-cors.rb:26:in 'Discourse::Cors#call'
 lib/middleware/default_headers.rb:13:in 'Middleware::DefaultHeaders#call'
 config/initializers/100-quiet_logger.rb:20:in 'DiscourseRackQuietAssetsLogger#call'
 config/initializers/100-silence_logger.rb:29:in 'SilenceLogger#call'
 lib/middleware/enforce_hostname.rb:23:in 'Middleware::EnforceHostname#call'
 lib/middleware/request_tracker.rb:321:in 'Middleware::RequestTracker#call'
 lib/middleware/overload_protections.rb:22:in 'Middleware::OverloadProtections#call'
 lib/middleware/processing_request.rb:14:in 'Middleware::ProcessingRequest#call'

в логах, когда я пытаюсь использовать свой Solo 2

keegan · 06.Март.2026 21:53:07

Спасибо, что проверили, @agr. Я только что отправил ещё одно исправление:

github.com/discourse/discourse

FIX: passkey authentication fails for EdDSA-based authenticators (#38328)

main ← fix-passkey-eddsa-login-auth

merged 09:51PM - 06 Mar 26 UTC

keegangeorge

+3 -5

**Previously**, passkey authentication called `cose_algorithm.hash_function` to …verify signatures, but `COSE::Algorithm::EdDSA` does not implement `hash_function` (EdDSA has the hash built into the algorithm). This caused a `NoMethodError 500` for any user who registered a passkey with an EdDSA-based authenticator. **This commit** uses the COSE gem's own `cose_algorithm.verify` method, which correctly dispatches signature verification for all algorithm types — including EdDSA, which passes nil as the digest internally.

Надеюсь, проблем больше не будет , но, пожалуйста, дайте знать, если вы всё ещё столкнётесь с какими-либо трудностями!

agr · 07.Март.2026 11:49:27

Спасибо за быстрое исправление. Я также попробовал использовать NitroKey для двухфакторной аутентификации, и это сработало как при регистрации, так и при входе. Отлично!!

keegan · 16.Март.2026 15:00:09

Эта тема была автоматически закрыта через 9 дней. Новые ответы больше не принимаются.

Тема		Ответов	Просм.
Error when create user passkey in browser Support passkey	13	375	29.11.2025
Support passwordless login with Passkeys Feature passkey , completed	43	3880	17.11.2023
Cannot register Yubikey as passkeys for passwordless login Bug passkey	13	1874	03.12.2024
Login with Passkey fails if setup with Nitrokey 3A Mini Bug passkey	0	56	20.08.2024
Passkey error Support passkey	11	204	19.04.2025

Не удается настроить ключ доступа ни в одном экземпляре Discourse

Связанные темы