Discourse IDにFacebookでログインできません

meta.discourse.org のメタサイトで、Facebookソーシャルログインが削除され、Discourse IDへの切り替えが推奨されているというバナーを見ました。そこで、Discourse IDへのリンクをクリックし、Facebookでサインインを試みましたが、失敗しました。

Facebookの設定が正しくないようです。Facebookログインはまだ機能しないため、11月30日の締め切りを延長すべきだと思います。

image1172×1152 38.8 KB

機能が利用できません

このアプリでは、追加の詳細情報を更新中のため、現在Facebookログインは利用できません。後でもう一度お試しください。

ダン、レポートありがとうございます。Facebookアカウントでログインできましたが、App Reviewプロセスが変更されていることに気づいたため、レビューのリクエストを提出しました。Facebookアプリは特別なことは何もせず、Facebook経由でのログインを有効にするだけですが、それでもMeta（Facebook）によるレビューが必要です。できるだけ早くレビューされることを願っています。

レビューがどれだけ早く進むかによって、ここでMetaの締め切りを延長することを検討します。

Facebookログインでよくある落とし穴は、Facebookアプリの「開発者」としてFacebookの管理設定に記載されているユーザーでは機能するのに、一般ユーザーでは機能しないことです。

Facebookログインのテストに関するFacebookのガイドに従うことで、問題を再現できると思います。

良い提案、ありがとうございます。ちょうどそれを実行し、アプリの管理者または開発者ではない使い捨てアカウントでログインしました。この画面が表示されました。

CleanShot 2025-11-10 at 14.54.26@2x1640×1820 181 KB

今は少し改善されましたが、まだ完全に機能していません。リダイレクトURLが間違ったURLに設定されていると思います。

再現手順：

• id.discourse.com にアクセスします（すでにログインしている場合はログアウトしてください）。
• id.discourse.com のホームページで「Log in」をクリックします。
• 「Facebook」をクリックします。
• 次に、名前とメールアドレスを入力するように求められるか、すでにFacebookでログインしている場合は、「以前にFacebookでDiscourse Login (Discourse ID)にログインしました。続行しますか？」と表示されます。
• 「[名前]として続行」をクリックします。
• meta.discourse.org（id.discourse.comではありません！）のこのページにリダイレクトされます：https://meta.discourse.org/auth/failure?message=csrf_detected&strategy=discourse_id#_=_\。「申し訳ありませんが、認証がタイムアウトしたか、ブラウザを変更しました。もう一度お試しください。」と表示されます。

image1250×358 10.2 KB

それらの手順に従うと、id.discourse.com のホームページにリダイレクトされます。メタにはリダイレクトされません。ID にログインし、ID のホームページが表示されます。

ただし、 以前のメタログイン試行から何か残っている可能性があります… 別のブラウザで再現できますか？

macOS 26.1 で、Chrome 142.0 ではバグが再現しましたが、Safari 26.1 では再現しませんでした。

Chrome Dev Tools で、以下のようなものが見られました。機密性の高い部分（code および state パラメータ）は REDACTED に置き換えられています。

• POST to https://id.discourse.com/auth/facebook
  • 302 redirect to https://www.facebook.com/v5.0/dialog/oauth?client_id=1002152602034172&redirect_uri=https%3A%2F%2Fid.discourse.com%2Fauth%2Ffacebook%2Fcallback&response_type=code&scope=email&state=REDACTED
• GET to https://www.facebook.com/v5.0/dialog/oauth?client_id=1002152602034172&redirect_uri=https%3A%2F%2Fid.discourse.com%2Fauth%2Ffacebook%2Fcallback&response_type=code&scope=email&state=REDACTED
  • 302 redirect to https://www.facebook.com/privacy/consent/gdp/?params[app_id]=1002152602034172&params[ios_fast_app_switch]=false&params[fblfb]=false&params[kid_directed_site]=false&params[blogger_id]="f4694485-7287-4d8b-b6fb-7b2e24a6eca0"&params[next]="confirm"&params[redirect_uri]="https%3A\%2F\%2Fid.discourse.com\%2Fauth\%2Ffacebook\%2Fcallback"&params[response_type]="code"&params[return_scopes]=false&params[scope]=["email"]&params[state]="REDACTED"&params[steps]={}&params[tp]="unspecified"&params[cui_gk]="[PASS]%3A"&params[is_limited_login_shim]=false&source=gdp_delegated&cache_buster=-2814008406871994827, 200 OK
• GET to https://www.facebook.com/dialog/consent/complete/?app_id=1002152602034172&close_uri=https%3A%2F%2Fid.discourse.com%2Fauth%2Ffacebook%2Fcallback%3Fcode%3DREDACTED%26state%3DREDACTED%23_%3D_&display=page&is_success_response=1&cache_buster=9053456441950167740&ext=1762813150&hash=AeRPfKHNpn86aMAA2Rk
  • 302 redirect to https://id.discourse.com/auth/facebook/callback?code=REDACTED&state=REDACTED#_=*
• GET to https://id.discourse.com/auth/facebook/callback?code=REDACTED&state=REDACTED#_=*
  • 302 redirect to https://id.discourse.com/oauth/authorize?client_id=w6frjy8zGCTX8HN5UoI20Jj0mMq3Z2cwPu-OJVExLbQ&redirect_uri=https%3A%2F%2Fmeta.discourse.org%2Fauth%2Fdiscourse_id%2Fcallback&response_type=code&scope=read&state=REDACTED
  • ^^ id.discourse.com のレスポンスヘッダーから「meta」が入り込んでいる点に注意
• GET to https://id.discourse.com/oauth/authorize?client_id=w6frjy8zGCTX8HN5UoI20Jj0mMq3Z2cwPu-OJVExLbQ&redirect_uri=https%3A%2F%2Fmeta.discourse.org%2Fauth%2Fdiscourse_id%2Fcallback&response_type=code&scope=read&state=REDACTED
  • 302 redirect to https://meta.discourse.org/auth/discourse_id/callback?code=REDACTED&state=REDACTED
• GET to https://meta.discourse.org/auth/discourse_id/callback?code=REDACTED&state=REDACTED
  • 302 redirect to /auth/failure?message=csrf_detected&strategy=discourse_id

そして、https://meta.discourse.org/auth/failure?message=csrf_detected&strategy=discourse_id にリダイレクトされ、200 OK になりました

ありがとうございます。特定の条件下で再現できることがわかりました。何が起こっているのか理解できたと思います。

ユーザーがメタから認証を開始すると、IDインスタンスに destination_url の値を保存し、認証後にユーザーを元の場所に戻せるようにします。しかし、認証が短時間で完了しない場合（失敗するか、ユーザーが認証を中止した場合）、その destination_url はクリーンアップされず、ユーザーのブラウザセッションに残ります。次にユーザーがログインしようとすると、IDはそのURLにリダイレクトしようとしますが、元の認証フローからの古いコード/状態の組み合わせがあるため、リダイレクトは「申し訳ありませんが、承認がタイムアウトしました」というエラーになります。

短時間経過後にリダイレクトしないようにする必要があります。destination_url の値が10分後にクリーンアップされるようにする必要があります。認証のコード/状態の組み合わせは10分間しか有効ではないと思いますが、確認が必要です。