Não consigo configurar a chave de acesso em nenhum discourse

agr · Março 4, 2026, 6:14pm

Ao usar um hardware que não possuo, quero usar uma chave de hardware em vez de inserir minha senha. Adquiri uma Nitrokey 3C para esse fim.

O registro no Discourse falha. Também aqui em meta.discourse.org.

p.s. Registrar a chave como segundo fator funcionou em um Linux (Debian) + Chromium, mas não quando tento fazer login.

supermathie · Março 4, 2026, 7:16pm

Qual navegador você está usando?

Qual é o erro que você recebe?

Existem detalhes adicionais no console do desenvolvedor?

agr · Março 4, 2026, 8:04pm

isso ocorre no chromium do debian (e no firefox do ubuntu o mesmo; também o mesmo no firefox nightly (snap) no debian)

Após pressionar o botão na chave

‘O processo de registro da chave de acesso expirou, foi cancelado ou não é permitido.’

O erro não é útil; nada de especial no console.

A solicitação para https://meta.discourse.org/u/register_passkey.json retorna http 500 com o payload {"status":500,"error":"Internal Server Error"}.

Os dados da solicitação ajudariam?

id=owBYLgKCahnu_YBKKDAaTdK7LOlDFzwJ9kJPvXfntmdfbyOzs35ddeOM0KnNqHiu6bwBTLu17fF2A7QkNfCE5wJQPdOrG5MIB-9Hek6KoX4wcA
rawId=owBYLgKCahnu/YBKKDAaTdK7LOlDFzwJ9kJPvXfntmdfbyOzs35ddeOM0KnNqHiu6bwBTLu17fF2A7QkNfCE5wJQPdOrG5MIB+9Hek6KoX4wcA==
type=public-key
attestation=o2NmbXRkbm9uZWdhdHRTdG10oGhhdXRoRGF0YVjB06zu7aykTbz9dy22doBbDg8EboPkWBAWR4JLQn8z1TTFAAAAewAAAAAAAAAAAAAAAAAAAAAAUqMAWC4CgmoZ7v2ASigwGk3SuyzpQxc8CfZCT71357ZnX28js7N+XXXjjNCpzah4rum8AUy7te3xdgO0JDXwhOcCUD3TqxuTCAfvR3pOiqF+MHCkAQEDJyAGIVggy/MDuHan5fRjuKIQp7zkGku7P6p/8s2B4kfectFHcF6ha2htYWMtc2VjcmV09A==
clientData=eyJ0eXBlIjoid2ViYXV0aG4uY3JlYXRlIiwiY2hhbGxlbmdlIjoiTmpRMVpUazJaVE00WlRRNE1UZGxOamd3TVdJNE5XVm1ZV1F5TkRObE1EVmlZek0zTURkbU1qZzJPR1V6TnpRd05HUmxZamRrTVdRMk1tWTEiLCJvcmlnaW4iOiJodHRwczovL21ldGEuZGlzY291cnNlLm9yZyIsImNyb3NzT3JpZ2luIjpmYWxzZX0=
name=Main Passkey

supermathie · Março 4, 2026, 9:19pm

Funciona em https://webauthn.io/?

agr · Março 4, 2026, 9:28pm

sim, registrando e autenticando

supermathie · Março 4, 2026, 9:33pm

Acabei de tentar registrar uma nova chave U2F aqui no meta e estou vendo este erro no console, o que provavelmente explica:

NotAllowedError: A operação expirou ou não foi permitida.
  Veja: https://www.w3.org/TR/webauthn-2/#sctn-privacy-considerations-client.

agr · Março 4, 2026, 9:56pm

Não entendi a descrição do erro em w3.org; então a implementação está quebrada? Eu não pareço obter o erro no console, então há algo que eu possa contribuir?

supermathie · Março 4, 2026, 9:57pm

Precisaremos analisar isso - acho que os navegadores implementaram requisitos adicionais (conforme observado no link) desde que desenvolvemos isso pela primeira vez.

keegan · Março 5, 2026, 5:53pm

Obrigado @agr por identificar este problema, publiquei uma correção aqui:

github.com/discourse/discourse

FIX: passkey registration failing when extension data included (#38266)

main ← fix-hardware-passkeys

approved 05:50PM - 05 Mar 26 UTC

keegangeorge

+32 -8

**Currently, passkey registration has two bugs:** 1. Registration fails with …an HTTP 500 for authenticators that include extension data (i.e. `hmac-secret` in their attestation response) because we slice all bytes after the credential ID the public key. 2. Registration fails with `NotAllowedError` on some hardware keys (i.e. Solo 2) because `pubKeyCredParams` includes invalid HMAC symmetric algorithms from the `COSE` gem, which strict authenticator firmware rejects. **This fix:** 1. Uses `CBOR::Unpacker` streaming decode to read exactly one `CBOR` object from the byte stream, stopping before any trailing extension data. Also adds `COSE::MalformedKeyError` to the rescue block so future failures return a proper error response. 2. Replaces the blanket `COSE::Algorithm.registered_algorithm_ids` with an explicit list of asymmetric signature algorithms valid for `WebAuthn`. Meta bug report: https://meta.discourse.org/t/cant-set-up-passkey-on-any-discourse/397642/

Atualizar seu Discourse para a versão mais recente deve resolver o problema, mas se você ainda encontrar algum problema, por favor, nos avise

agr · Março 5, 2026, 8:08pm

O registro funcionou bem. Foi rápido

Mas o login / auth.js me dá uma resposta 500

supermathie · Março 5, 2026, 9:55pm

Confirmado; eu vejo:

NoMethodError (método 'hash_function' indefinido para uma instância de COSE::Algorithm::EdDSA)
 lib/discourse_webauthn/authentication_service.rb:99:in 'DiscourseWebauthn::AuthenticationService#authenticate_security_key'
 app/controllers/session_controller.rb:399:in 'SessionController#passkey_login'
 app/controllers/application_controller.rb:443:in 'block in ApplicationController#with_resolved_locale'
 app/controllers/application_controller.rb:443:in 'ApplicationController#with_resolved_locale'
 app/controllers/application_controller.rb:1089:in 'ApplicationController#ensure_dont_cache_page'
 lib/middleware/omniauth_bypass_middleware.rb:35:in 'Middleware::OmniauthBypassMiddleware#call'
 lib/middleware/crawler_hooks.rb:11:in 'Middleware::CrawlerHooks#call'
 lib/content_security_policy/middleware.rb:12:in 'ContentSecurityPolicy::Middleware#call'
 lib/middleware/anonymous_cache.rb:420:in 'Middleware::AnonymousCache#call'
 lib/middleware/csp_script_nonce_injector.rb:12:in 'Middleware::CspScriptNonceInjector#call'
 config/initializers/008-rack-cors.rb:26:in 'Discourse::Cors#call'
 lib/middleware/default_headers.rb:13:in 'Middleware::DefaultHeaders#call'
 config/initializers/100-quiet_logger.rb:20:in 'DiscourseRackQuietAssetsLogger#call'
 config/initializers/100-silence_logger.rb:29:in 'SilenceLogger#call'
 lib/middleware/enforce_hostname.rb:23:in 'Middleware::EnforceHostname#call'
 lib/middleware/request_tracker.rb:321:in 'Middleware::RequestTracker#call'
 lib/middleware/overload_protections.rb:22:in 'Middleware::OverloadProtections#call'
 lib/middleware/processing_request.rb:14:in 'Middleware::ProcessingRequest#call'

nos logs quando tento usar meu Solo 2

keegan · Março 6, 2026, 9:53pm

Obrigado por verificar isso @agr, acabei de enviar outra correção:

github.com/discourse/discourse

FIX: passkey authentication fails for EdDSA-based authenticators (#38328)

main ← fix-passkey-eddsa-login-auth

merged 09:51PM - 06 Mar 26 UTC

keegangeorge

+3 -5

**Previously**, passkey authentication called `cose_algorithm.hash_function` to …verify signatures, but `COSE::Algorithm::EdDSA` does not implement `hash_function` (EdDSA has the hash built into the algorithm). This caused a `NoMethodError 500` for any user who registered a passkey with an EdDSA-based authenticator. **This commit** uses the COSE gem's own `cose_algorithm.verify` method, which correctly dispatches signature verification for all algorithm types — including EdDSA, which passes nil as the digest internally.

Espero que não haja mais problemas , mas por favor me avise se você ainda encontrar algum problema!

agr · Março 7, 2026, 11:49am

Obrigado pela correção rápida. Eu também tentei usar o Nitrokey para 2FA e funcionou tanto para o registro quanto para o login. Muito ótimo!!

Tópico		Respostas	Visualizações
Error when create user passkey in browser Support passkey	13	327	29 de Novembro de 2025
Support passwordless login with Passkeys Feature passkey , completed	43	3863	17 de Novembro de 2023
Cannot register Yubikey as passkeys for passwordless login Bug passkey	13	1839	3 de Dezembro de 2024
Login with Passkey fails if setup with Nitrokey 3A Mini Bug passkey	0	50	20 de Agosto de 2024
Passkey error Support passkey	11	197	19 de Abril de 2025

Não consigo configurar a chave de acesso em nenhum discourse

Tópicos relacionados