Créer un lien de connexion DiscourseConnect

Documentation Intégrations
, ,
1

:bookmark: This documentation explains how to create links on a DiscourseConnect provider site that log users into Discourse and redirect them to a specific Discourse URL.

:person_raising_hand: Required user level: Administrator

Sites using DiscourseConnect can add links on their DiscourseConnect provider site that will log users into Discourse and redirect them to a specific Discourse URL. This is done by creating links that point to the /session/sso route that have a return_path parameter set to the path of the Discourse page you want users to end up on.

The link’s href property should be in the form below, with the path you want users to end up on substituted for <relative_path>:

https://forum.example.com/session/sso?return_path=<relative_path>

An example anchor tag that will log in a user and redirect them to a Discourse site’s homepage:

<a href="https://forum.example.com/session/sso?return_path=/">Community</a>

An example anchor tag that will log in a user and redirect them to the Top Topics page:

<a href="https://forum.example.com/session/sso?return_path=/top">Top Topics</a>

How the return_path is stored on Discourse

Discourse stores the value of the return_path parameter on the session object that is created when a user visits the /session/sso route. At the end of the DiscourseConnect authentication process, Discourse redirects users to the return_path.

Making the process seamless for authenticated users

When a user visits the Discourse /session/sso route, they are redirected to the URL set by the discourse connect url site setting. The DiscourseConnect provider will then handle the authentication process in the same way as it would if the user had clicked the Discourse Login button.

For the authentication process to be seamless for users who are already logged in on the authentication provider site, the authentication provider’s DiscourseConnect code needs to check to see if the user is logged in or not. If the user isn’t logged in, take them through the auth providers login process. If the user is already logged in, skip the login process on the auth provider site.

Here’s a commented example, using code from the WP Discourse plugin. It demonstrates how authenticated users can be handled differently than unauthenticated users:

public function sso_parse_request( $wp ) {
    // Check if Single Sign-On (SSO) is enabled in the plugin options
    if ( empty( $this->options['enable-sso'] ) ) {
        return null;
    }

    // Handle any logout requests before proceeding with SSO
    $this->handle_logout_request();

    // Check if the 'sso' and 'sig' parameters exist in the query variables
    if ( array_key_exists( 'sso', $wp->query_vars ) && array_key_exists( 'sig', $wp->query_vars ) ) {
        // Sanitize the 'sso' payload and signature to ensure they are safe for use
        $payload = sanitize_text_field( $wp->query_vars['sso'] );
        $sig     = sanitize_text_field( $wp->query_vars['sig'] );

        // If the user is not logged in to WordPress, redirect to the login page
        // This ensures that users without an active session are prompted to log in to WordPress first
        if ( ! is_user_logged_in() ) {
            // Construct a URL to redirect back to after logging in
            $redirect = add_query_arg( $payload, $sig );
            // Generate the WordPress login URL with the redirect parameter
            $login    = wp_login_url( esc_url_raw( $redirect ) );

            // Trigger an action before the login redirection (optional for logging or custom actions)
            do_action( 'wpdc_sso_before_login_redirect', $redirect, $login );

            // Redirect to the WordPress login page
            return $this->redirect_to( $login );
        } else {
            // If the user is already authenticated in WordPress, bypass the login process
            // and proceed with validating the SSO payload and signature.
            $sso_secret = $this->options['sso-secret'];
            $sso        = new SSO( $sso_secret );
            
            // Validate the payload and signature using the SSO secret
            if ( ! ( $sso->validate( $payload, $sig ) ) ) {
                // Handle invalid SSO requests
                return $this->handle_error( 'parse_request.invalid_sso' );
            }

            // Get the current logged-in WordPress user
            $current_user = wp_get_current_user();
            // Prepare SSO parameters using the logged-in user's data
            $params       = $this->get_sso_params( $current_user );

            try {
                // Generate a nonce from the payload and build the SSO login string
                $params['nonce'] = $sso->get_nonce( $payload );
                $q               = $sso->build_login_string( $params );
            } catch ( \Exception $e ) {
                // Handle exceptions if there is an issue with SSO parameter generation
                return $this->handle_error( 'parse_request.invalid_sso_params', array( 'message' => esc_html( $e->getMessage() ) ) );
            }

            // Trigger an action before redirecting the user for SSO login (useful for logging)
            do_action( 'wpdc_sso_provider_before_sso_redirect', $current_user->ID, $current_user );

            // Log the SSO success if verbose logging is enabled
            if ( ! empty( $this->options['verbose-sso-logs'] ) ) {
                $this->logger->info( 'parse_request.success', array( 'user_id' => $current_user->ID ) );
            }

            // Redirect the authenticated user to the DiscourseConnect login URL with the SSO login string
            return $this->redirect_to( $this->options['url'] . '/session/sso_login?' . $q );
        }
    }

    // Return null if no SSO parameters are found in the request
    return null;
}

Setting the return path to non-Discourse URLs

Discourse allows you to login a user and redirect them to a non-Discourse URL. Note that for this to work you need to add the URL to the discourse connect allowed redirect domains site setting. By default this setting is blank - preventing redirects to non-Discourse URLs. If you enable it, be sure to use the absolute URL in the return_path parameter for any non-Discourse URLs that you want to direct users to.

Last edited by @simon 2024-09-25T07:22:09Z

Check documentPerform check on document:
20 « J'aime »
2

J’utilise cette méthode mais à chaque fois je dois me connecter via sso.

Comment pouvons-nous rendre cela transparent, c’est-à-dire que si je me suis déjà connecté à Discourse, il n’y aurait plus besoin d’aller sur la page sso pour se connecter à nouveau ?

1 « J'aime »
3

Sauf si quelque chose a changé, c’est ainsi que le lien est censé fonctionner. Par exemple, si vous êtes connecté à Discourse et que vous cliquez sur un lien du site fournisseur sso qui pointe vers https://forum.example.com/session/sso?return_path=/t/some-slug/23, vous devriez être redirigé de manière transparente vers /t/some-slug/23 sans avoir à visiter la page de connexion au préalable.

1 « J'aime »
4

Je suis déjà sur la dernière mise à jour de Discourse et voici comment le SSO fonctionne pour moi :

Comme vous pouvez le voir, je suis déjà connecté, mais lorsque j’entre une URL comme https://forum.example.com/session/sso?return_path=/t/some-slug/23, je serais à nouveau redirigé vers la page de connexion SSO.

5

Je pense que ce qui se passe, c’est que lorsque vous visitez une route comme https://forum.example.com/session/sso?return_path=/t/some-slug/23, Discourse vous redirige vers l’url de connexion discourse, que vous soyez connecté ou non à Discourse. Cela se produit ici :

Le site fournisseur d’SSO est alors censé gérer le cas des utilisateurs qui sont déjà connectés au site. Voici comment le plugin WP Discourse le gère :

Ce code (ce qui suit l’instruction else) gère le cas des utilisateurs qui sont déjà connectés à WordPress. Ils sont redirigés vers l’URL fournie par le paramètre de requête return_path. Ainsi, du point de vue de l’utilisateur, il est dirigé directement vers l’URL du chemin de retour, mais ce qui se passe en réalité, c’est qu’il est redirigé vers le site du fournisseur d’SSO, puis de retour vers Discourse.

Je pense que le problème sur votre site est que votre code d’SSO ne gère pas le cas des utilisateurs qui sont déjà connectés au site.

Je n’ai pas la possibilité de tester cela pour le moment. Il est possible que je lise mal le code. Avant de regarder le code, je pensais qu’une vérification était effectuée du côté de Discourse pour voir si l’utilisateur était déjà connecté à Discourse, mais il semble que ce ne soit pas ainsi que cela fonctionne.

3 « J'aime »
6

Merci beaucoup pour votre explication.

Oui, c’est une chose que nous allons corriger dans notre sso.

Cependant

Je pense qu’avoir cela vérifié du côté de Discourse aurait créé une meilleure expérience utilisateur.

1 « J'aime »
7

J’ai modifié le message initial pour ajouter des détails sur le fonctionnement du processus et sur la manière de gérer le cas des utilisateurs déjà authentifiés sur le site du fournisseur SSO. C’est une question qui est revenue plusieurs fois.

Une version moins détaillée de ce sujet pourrait éventuellement être intégrée dans Setup DiscourseConnect - Official Single-Sign-On for Discourse (sso) - #482. Le paramètre de requête return_path n’est pas mentionné dans ce sujet.