Проблема CSRF в разработке с плагином 'Discourse OpenID Connect'

wayway_way · 19.Октябрь.2023 12:05:40

Я потратил пять-шесть недель на настройку SSO в Discourse и столкнулся с рядом проблем в этот период. Сейчас возникла проблема, которая блокирует мою работу. Я постараюсь описать её максимально подробно.

Среда разработки

Ubuntu 22 на VMware
Discourse 3.2.0.beta2-dev
- сервер работает на 127.0.0.1:3000
- ember-cli работает на 127.0.0.1:4200
- Установка Discourse на Ubuntu или Debian для разработки
- отключённые плагины:
  - presence
  - chat
  - narrative bot
- Использование плагина Discourse OpenID Connect для подключения Keycloak на основе OIDC, где Keycloak выступает провайдером идентификации для Discourse
  - Настройка подключения OIDC в Discourse OpenID Connect:
    - документ обнаружения OpenID Connect: http://127.0.0.1:8080/realms/mediawiki-realm/.well-known/openid-configuration
    - идентификатор клиента OpenID Connect: mydiscourse
    - секрет клиента OpenID Connect: O9A8zQuOn1bfpsWD89U8ULwYf6ooDu73
Провайдер SSO: Keycloak 22.0.4
- работает на 127.0.0.1:8080
- Настройка подключения OIDC в Keycloak:
  - Допустимые URI перенаправления: http://127.0.0.1:3000/auth/oidc/callback
  - Секрет клиента: O9A8zQuOn1bfpsWD89U8ULwYf6ooDu73
Браузер Chrome версии 118.0.5993.70

Процесс воспроизведения

Вход через OIDC

Discourse перенаправляет на Keycloak, ввод данных пользователя в Keycloak

CSRF

Логи

//

//

//

// Трассировка приложения

lib/middleware/omniauth_bypass_middleware.rb:53:in `call'
lib/content_security_policy/middleware.rb:12:in `call'
lib/middleware/gtm_script_nonce_injector.rb:10:in `call'
config/initializers/100-quiet_logger.rb:20:in `call'
config/initializers/100-silence_logger.rb:29:in `call'
lib/middleware/missing_avatars.rb:22:in `call'
lib/middleware/turbo_dev.rb:31:in `call'

// Трассировка фреймворка

omniauth (1.9.2) lib/omniauth/failure_endpoint.rb:25:in `raise_out!'
omniauth (1.9.2) lib/omniauth/failure_endpoint.rb:20:in `call'
omniauth (1.9.2) lib/omniauth/failure_endpoint.rb:12:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:491:in `fail!'
/home/hardway/Downloads/omniauth-oauth2/lib/omniauth/strategies/oauth2.rb:88:in `callback_phase'
plugins/discourse-openid-connect/lib/omniauth_open_id_connect.rb:142:in `callback_phase'
omniauth (1.9.2) lib/omniauth/strategy.rb:238:in `callback_call'
omniauth (1.9.2) lib/omniauth/strategy.rb:189:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/builder.rb:45:in `call'
rack (2.2.8) lib/rack/tempfile_reaper.rb:15:in `call'
rack (2.2.8) lib/rack/conditional_get.rb:27:in `call'
rack (2.2.8) lib/rack/head.rb:12:in `call'
actionpack (7.0.7) lib/action_dispatch/http/permissions_policy.rb:38:in `call'
rack (2.2.8) lib/rack/session/abstract/id.rb:266:in `context'
rack (2.2.8) lib/rack/session/abstract/id.rb:260:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/cookies.rb:704:in `call'
activerecord (7.0.7) lib/active_record/migration.rb:603:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/callbacks.rb:27:in `block in call'
activesupport (7.0.7) lib/active_support/callbacks.rb:99:in `run_callbacks'
actionpack (7.0.7) lib/action_dispatch/middleware/callbacks.rb:26:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/executor.rb:14:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/actionable_exceptions.rb:17:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/debug_exceptions.rb:28:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/show_exceptions.rb:29:in `call'
logster (2.13.0) lib/logster/middleware/reporter.rb:40:in `call'
railties (7.0.7) lib/rails/rack/logger.rb:40:in `call_app'
railties (7.0.7) lib/rails/rack/logger.rb:27:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/remote_ip.rb:93:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/request_id.rb:26:in `call'
rack (2.2.8) lib/rack/method_override.rb:24:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/executor.rb:14:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/static.rb:23:in `call'
rack (2.2.8) lib/rack/sendfile.rb:110:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/host_authorization.rb:137:in `call'
rack-mini-profiler (3.1.1) lib/mini_profiler.rb:413:in `call'
message_bus (4.3.8) lib/message_bus/rack/middleware.rb:60:in `call'
railties (7.0.7) lib/rails/engine.rb:530:in `call'
railties (7.0.7) lib/rails/railtie.rb:226:in `public_send'
railties (7.0.7) lib/rails/railtie.rb:226:in `method_missing'
rack (2.2.8) lib/rack/urlmap.rb:74:in `block in call'
rack (2.2.8) lib/rack/urlmap.rb:58:in `each'
rack (2.2.8) lib/rack/urlmap.rb:58:in `call'
unicorn (6.1.0) lib/unicorn/http_server.rb:634:in `process_client'
unicorn (6.1.0) lib/unicorn/http_server.rb:739:in `worker_loop'
unicorn (6.1.0) lib/unicorn/http_server.rb:547:in `spawn_missing_workers'
unicorn (6.1.0) lib/unicorn/http_server.rb:143:in `start'
unicorn (6.1.0) bin/unicorn:128:in `<top (required)>'
bin/unicorn:96:in `load'
bin/unicorn:96:in `block in <main>'
bin/unicorn:95:in `fork'
bin/unicorn:95:in `<main>'

// Полная трассировка

omniauth (1.9.2) lib/omniauth/failure_endpoint.rb:25:in `raise_out!'
omniauth (1.9.2) lib/omniauth/failure_endpoint.rb:20:in `call'
omniauth (1.9.2) lib/omniauth/failure_endpoint.rb:12:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:491:in `fail!'
/home/hardway/Downloads/omniauth-oauth2/lib/omniauth/strategies/oauth2.rb:88:in `callback_phase'
plugins/discourse-openid-connect/lib/omniauth_open_id_connect.rb:142:in `callback_phase'
omniauth (1.9.2) lib/omniauth/strategy.rb:238:in `callback_call'
omniauth (1.9.2) lib/omniauth/strategy.rb:189:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/strategy.rb:192:in `call!'
omniauth (1.9.2) lib/omniauth/strategy.rb:169:in `call'
omniauth (1.9.2) lib/omniauth/builder.rb:45:in `call'
lib/middleware/omniauth_bypass_middleware.rb:53:in `call'
rack (2.2.8) lib/rack/tempfile_reaper.rb:15:in `call'
rack (2.2.8) lib/rack/conditional_get.rb:27:in `call'
rack (2.2.8) lib/rack/head.rb:12:in `call'
actionpack (7.0.7) lib/action_dispatch/http/permissions_policy.rb:38:in `call'
lib/content_security_policy/middleware.rb:12:in `call'
lib/middleware/gtm_script_nonce_injector.rb:10:in `call'
rack (2.2.8) lib/rack/session/abstract/id.rb:266:in `context'
rack (2.2.8) lib/rack/session/abstract/id.rb:260:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/cookies.rb:704:in `call'
activerecord (7.0.7) lib/active_record/migration.rb:603:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/callbacks.rb:27:in `block in call'
activesupport (7.0.7) lib/active_support/callbacks.rb:99:in `run_callbacks'
actionpack (7.0.7) lib/action_dispatch/middleware/callbacks.rb:26:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/executor.rb:14:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/actionable_exceptions.rb:17:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/debug_exceptions.rb:28:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/show_exceptions.rb:29:in `call'
logster (2.13.0) lib/logster/middleware/reporter.rb:40:in `call'
railties (7.0.7) lib/rails/rack/logger.rb:40:in `call_app'
railties (7.0.7) lib/rails/rack/logger.rb:27:in `call'
config/initializers/100-quiet_logger.rb:20:in `call'
config/initializers/100-silence_logger.rb:29:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/remote_ip.rb:93:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/request_id.rb:26:in `call'
rack (2.2.8) lib/rack/method_override.rb:24:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/executor.rb:14:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/static.rb:23:in `call'
rack (2.2.8) lib/rack/sendfile.rb:110:in `call'
actionpack (7.0.7) lib/action_dispatch/middleware/host_authorization.rb:137:in `call'
lib/middleware/missing_avatars.rb:22:in `call'
lib/middleware/turbo_dev.rb:31:in `call'
rack-mini-profiler (3.1.1) lib/mini_profiler.rb:413:in `call'
message_bus (4.3.8) lib/message_bus/rack/middleware.rb:60:in `call'
railties (7.0.7) lib/rails/engine.rb:530:in `call'
railties (7.0.7) lib/rails/railtie.rb:226:in `public_send'
railties (7.0.7) lib/rails/railtie.rb:226:in `method_missing'
rack (2.2.8) lib/rack/urlmap.rb:74:in `block in call'
rack (2.2.8) lib/rack/urlmap.rb:58:in `each'
rack (2.2.8) lib/rack/urlmap.rb:58:in `call'
unicorn (6.1.0) lib/unicorn/http_server.rb:634:in `process_client'
unicorn (6.1.0) lib/unicorn/http_server.rb:739:in `worker_loop'
unicorn (6.1.0) lib/unicorn/http_server.rb:547:in `spawn_missing_workers'
unicorn (6.1.0) lib/unicorn/http_server.rb:143:in `start'
unicorn (6.1.0) bin/unicorn:128:in `<top (required)>'
bin/unicorn:96:in `load'
bin/unicorn:96:in `block in <main>'
bin/unicorn:95:in `fork'
bin/unicorn:95:in `<main>'

Возможные причины

Советы и рекомендации, которые я хотел бы получить

Как работает аутентификация в Discourse?
Как Discourse использует сессии?
Механизм обмена сообщениями в Discourse
Было бы отлично, если бы вы могли сразу сообщить решение проблемы

simon · 19.Октябрь.2023 19:34:22

Возможно, это не связано напрямую, но имеет ли значение, если установить допустимые URI перенаправления в http://127.0.0.1:4200/auth/oidc/callback?

Также в настоящее время наблюдается странное поведение в среде разработки на Ubuntu/Debian: сайт доступен как по адресу localhost:4200, так и по адресу 127.0.0.1:4200. Каждый из этих доменов создаёт отдельную сессию. Вероятно, это не связано с вашей проблемой, но может вызвать сложности при локальной разработке. Я всегда использую домен localhost:4200, так как это, похоже, ожидаемое поведение.

david · 19.Октябрь.2023 22:17:04

Да, это тоже была бы моя первая мысль. Важно, чтобы поток аутентификации начинался и заканчивался на одном и том же порту, иначе сеанс может оказаться другим.

Если вы запускаете Rails и Ember-CLI вместе через bin/ember-cli -u, то всё должно быть настроено автоматически. Но если вы запускаете их отдельно, убедитесь, что на сервере Rails установлена переменная окружения DISCOURSE_PORT=4200, чтобы всё корректно синхронизировалось.

wayway_way · 20.Октябрь.2023 03:57:11

Я попытался, но в Keycloak появляется ошибка: «Invalid parameter: redirect_uri».

Запустите Rails и Ember-CLI одновременно через bin/ember-cli -u

Укажите допустимые URI перенаправления как http://127.0.0.1:4200/auth/oidc/callback.

wayway_way · 20.Октябрь.2023 06:57:56

Похоже, что причина заключается в расхождении между допустимыми URI перенаправления в Keycloak и URI, показанными на следующей иллюстрации.

URI, показанный на изображении:

http://127.0.0.1:8080/realms/mediawiki-realm/protocol/openid-connect/auth?client_id=mydiscourse&nonce=dce3dd8bccb09b25f88d1645d26b9d20b58e3d2ff3804f83ed79098c793a5ae2&redirect_uri=http%3A%2F%2F127.0.0.1%3A3000%2Fauth%2Foidc%2Fcallback&response_type=code&scope=openid+profile+email&state=7fd712dd2b28c8264eac170721b898b26ae8fb2edb9a2e9f

После декодирования параметра ‘redirect_uri’ он соответствует:

http://127.0.0.1:3000/auth/oidc/callback

Каким же должен быть правильный redirect_uri?

wayway_way · 20.Октябрь.2023 14:07:41

Не могли бы вы любезно сообщить, какая платформа используется для проверки личности при создании этого плагина?

wayway_way · 23.Октябрь.2023 03:25:25

Спасибо, всё работает.
Моя обходная схема заключалась в том, чтобы открывать Discourse по адресу 127.0.0.1:4200 вместо localhost:4200.

simon · 28.Октябрь.2023 07:34:25

Я не рекомендую этого делать, но для локальной разработки я применил довольно радикальный подход: отредактировал метод callback_url в плагине: discourse-openid-connect/lib/omniauth_open_id_connect.rb at main · discourse/discourse-openid-connect · GitHub.

     def callback_url
        full_host = 'http://localhost:4200'
        full_host + script_name + callback_path
      end

Таким образом, он всегда возвращает http://localhost:4200/auth/oidc/callback.

Без этого изменения я не мог найти способа установить часть URL, отвечающую за хост, в значение отличное от http://127.0.0.1:3000.

Тема		Ответов	Просм.
OpenID Connect extension not creating new Discourse users Support	20	4569	11.02.2019
Redirecting from Keycloak to discourse with OIDC SSO	1	976	16.12.2021
Discourse OpenID Connect (OIDC) Plugin official , included-in-core , auth-plugins , openid-connect	47	49002	14.05.2026
Error using discourse-oauth2-basic plugin with NeonCRM SSO oauth2	28	4766	12.02.2020
Discourse ID fails to activate on my instance SSO discourse-id , unsupported-install	26	595	22.10.2025