来自 nginx 访问日志的额外数据点:
一个有代表性的失败(2026-01-25 11:44:10 UTC)显示 OIDC 回调请求来自 iOS 应用内浏览器的用户代理(Snapchat),而不是 Discourse iOS 应用的 webview 用户代理:
GET /auth/oidc/callback?...state=... 302
UA: Mozilla/5.0 (iPhone; CPU iPhone OS 18_7 like Mac OS X) ... Snapchat/13.76.1.0 (like Safari/..., panda)
Referer: https://login.microsoftonline.com/
紧接着是:
GET /auth/failure?message=csrf_detected&strategy=oidc
因此,看起来 OAuth 流程有时会在 iOS 应用内浏览器(Snapchat/其他)中启动,
然后发生跳转(我也在日志中看到包含 auth_redirect=discourse://auth_redirect 的记录),
并且会话 cookie/状态不能持续保持一致。
当前设置:SiteSetting.same_site_cookies = "Lax"。
问题:当登录从 iOS 应用内浏览器启动并随后深度链接到 Discourse 应用时,Discourse 移动应用的身份验证流程是否可以保证可靠?
将 same_site_cookies 切换到“None”是推荐的缓解措施,还是有更好的方法?