Discourse OAuth2 Grundlegend

	Summary	Discourse OAuth2 Basic supports basic OAuth2 providers, assuming they have a JSON API endpoint where user details can be retrieved by token.
	Install Guide	This plugin is bundled with Discourse core. There is no need to install the plugin separately.

Features

This plugin allows you to use a basic OAuth2 provider as authentication for Discourse. It should work with many providers, with the caveat that they must provide a JSON endpoint for retrieving information about the user you are logging in.

This is mainly useful for people who are using login providers that aren’t very popular. If you want to use Google, Facebook or Twitter, those are included out of the box and you don’t need this plugin. You can also look for other login providers in our Github Repo.

Configuration

Basic Configuration

1. First, register your Discourse application with your OAuth2 provider. It will require a Redirect URI which will be:

    http://DISCOURSE_HOST/auth/oauth2_basic/callback

Replace DISCOURSE_HOST with the appropriate value, and make sure you are using https if enabled. The OAuth2 provider should supply you with a client ID and secret, as well as a couple of URLs.

2. Visit your Admin → Settings → OAuth2 Login and fill in the basic configuration for the OAuth2 provider:

• oauth2_enabled - check this off to enable the feature
• oauth2_client_id - the client ID from your provider
• oauth2_client_secret - the client secret from your provider
• oauth2_authorize_url - your provider’s authorization URL
• oauth2_token_url - your provider’s token URL.

If you can’t figure out the values for the above settings, check the developer documentation from your provider or contact their customer support.

Configuring the JSON User Endpoint

Discourse is now capable of receiving an authorization token from your OAuth2 provider. Unfortunately, Discourse requires more information to be able to complete the authentication.

We require an API endpoint that can be contacted to retrieve information about the user based on the token.

For example, the OAuth2 provider SoundCloud provides such a URL. If you have an OAuth2 token for SoundCloud, you can make a GET request to https://api.soundcloud.com/me?oauth_token=A_VALID_TOKEN and will get back a JSON object containing information on the user.

To configure this on Discourse, we need to set the value of the oauth2_user_json_url setting. In this case, we’ll input the value of:

https://api.soundcloud.com/me?oauth_token=:token

The part with :token tells Discourse that it needs to replace that value with the authorization token it received when the authentication completed.

There is one last step to complete. We need to tell Discourse what attributes are available in the JSON it received. Here’s a sample response from SoundCloud:

{
  "id": 3207,
  "permalink": "jwagener",
  "username": "Johannes Wagener",
  "uri": "https://api.soundcloud.com/users/3207",
  "permalink_url": "http://soundcloud.com/jwagener",
  "avatar_url": "http://i1.sndcdn.com/avatars-000001552142-pbw8yd-large.jpg?142a848",
  "country": "Germany",
  "full_name": "Johannes Wagener",
  "city": "Berlin"
}

The oauth2_json_user_id_path, oauth2_json_username_path, oauth2_json_name_path and oauth2_json_email_path variables should be set to point to the appropriate attributes in the JSON.

The only mandatory attribute is id - we need that so when the user logs on in the future that we can pull up the correct account. The others are great if available – they will make the signup process faster for the user as they will be pre-populated in the form.

Here’s how I configured the JSON path settings:

  oauth2_json_user_id_path: 'id'
  oauth2_json_username_path: 'permalink'
  oauth2_json_name_path: 'full_name'

I used permalink because it seems more similar to what Discourse expects for a username than the username in their JSON. Notice I omitted the email path: SoundCloud do not provide an email so the user will have to provide and verify this when they sign up the first time on Discourse.

If the properties you want from your JSON object are nested, you can use periods. So for example if the API returned a different structure like this:

{
  "user": {
    "id": 1234,
    "email": {
      "address": "test@example.com"
    }
  }
}

You could use user.id for the oauth2_json_user_id_path and user.email.address for oauth2_json_email_path.

If the key itself includes periods, you will need to put double quotes around it, or escape the periods with a backslash. For example, given this JSON:

{
  "example.com/uid": "myuid"
}

You would specify the path as example\.com/uid or "example.com/uid"

If you set oauth2_json_email_path, the OAuth2 provider must confirm the user owns that email address. Failure to do this can result in account takeover in Discourse!

Hosted by us? This plugin is available on our Business and Enterprise plans. OAuth 2.0 & OpenID Connect Support | Discourse - Civilized Discussion

Last edited by @tobiaseigen 2025-07-16T21:39:12Z

Check document

Perform check on document:

Hallo,
wir versuchen, Discourse mit unserer Anwendung über OAuth2 Basic zu integrieren, erhalten aber die folgende Fehlermeldung in den Protokollen:
Hinweis: Wir verwenden NGROK zum Debuggen der Verbindung.

OAuth2 Debugging: request POST https://formshare.ngrok.io/oauth2/token

Headers: {"User-Agent"=>"Faraday v1.9.3", "Content-Type"=>"application/x-www-form-urlencoded", "Authorization"=>"Basic S2k2SFZtTVpuSTFHUExiRXVlWVJDNENiOkNvb1k0anlQemt3dWNRV21Sa2FWOVNnbHZLbjJFT3cxc3BIMmtMck9yY21vNDM4Tg=="}

Body: {"client_id"=>"Ki6HVmMZnI1GPLbEueYRC4Cb", "client_secret"=>"...some_secret_...", "grant_type"=>"authorization_code", "code"=>"5pPCrsp0pZ84373MNaHh2cuskfc8AlbfmdwMBFIVW4n4z9aX", :redirect_uri=>"https://community.formshare.org/auth/oauth2_basic/callback"}

------------------

OAuth2 Debugging: response status 200

From POST https://formshare.ngrok.io/oauth2/token

Headers: {"content-length"=>"108", "content-type"=>"text/html; charset=UTF-8", "date"=>"Thu, 01 Sep 2022 21:42:08 GMT", "ngrok-trace-id"=>"79cdc3f1c3eae5e37a30796aebbf9bd6", "server"=>"gunicorn"}

Body: {"token_type": "Bearer", "access_token": "p0FVuwjSXL1ZINEklMAVqUlpZxSll1SgnbpE8YWP4C", "expires_in": 864000}

-----------------------------------

(oauth2_basic) Authentication failure! invalid_credentials: OAuth2::Error, {"token_type": "Bearer", "access_token": "p0FVuwjSXL1ZINEklMAVqUlpZxSll1SgnbpE8YWP4C", "expires_in": 864000}

Wir haben die Parameter „oauth2 callback user id path“ und „oauth2 callback user info paths“ leer gelassen.

Jeder Hinweis ist willkommen.

Kann ich dies zur Authentifizierung mit dem XBL-Dienst von Microsoft verwenden?

Ich vermute, die Logik wäre ähnlich wie diese?

Hallo zusammen. Ich versuche, dieses Plugin mit unserem internen Oauth2-Server mit dem Autorisierungscode-Flow zu konfigurieren.

Wenn ein Benutzer auf „Mit Oauth verbinden“ klickt, funktioniert der /authorize-Endpunkt und ein Code wird an den Callback zurückgegeben. Aber dann zeigt Discourse einen generischen 500-Fehler „Oops. Die Software, die dieses Diskussionsforum antreibt, hat ein unerwartetes Problem festgestellt“ und der /token-Endpunkt wird nicht aufgerufen.

Das Fehlerprotokoll sagt Folgendes:
OAuth2::ConnectionError (FinalDestination: alle aufgelösten IPs waren nicht zulässig) lib/final_destination/ssrf_detector.rb:74:in lookup_and_filter_ips' lib/final_destination/http.rb:13:in connect’ lib/midd

Nach meinem Verständnis gibt es ein Problem mit einer IP-Adresse? Derzeit ist der Oauth2-Server in meiner Entwicklungsumgebung (localhost) gehostet und die Endpunkte für Autorisierung und Token sind entsprechend konfiguriert. Ist das ein Problem?

Problem gefunden:

1. Aus irgendeinem Grund wurde der Endpunkt /token nie aufgerufen. Nachdem die maximalen Optionen in den Admin-Parametern im Zusammenhang mit OAuth gesetzt wurden, wurde der Endpunkt ohne Antwort aufgerufen.
2. Ich vergaß, dass der Discourse-Server und nicht der Webclient den Endpunkt /token aufrufen würde. Daher konnte der Server meinen lokalen Oauth2-Server nicht erreichen. Das Problem wurde behoben, indem unser Oauth2-Server hinter einer Domain platziert wurde.

Jetzt kann ich bestehende Benutzer verbinden, verstehe aber nicht, wie neue Benutzer über dieses Plugin angemeldet werden können.
Wenn sich der Benutzer mit OAuth anmeldet, erhält er eine Fehlermeldung, dass er kein aktives Konto auf dem Discourse-Server hat. Was normal ist, da es sich um einen neuen Benutzer handelt.

Gibt es einen dedizierten Callback, um den Benutzer anstelle der Anmeldung anzumelden? Oder einen bestimmten Parameter, der gesetzt werden muss, um die Kontoerstellung zu ermöglichen?

Mein Unternehmens-OAuth-Server generierte eine /profile-JSON-Antwort mit einem kleinen Tippfehler in einem Feld. Nachdem der Tippfehler behoben war, war alles in Ordnung.
Aber ich muss sagen, dass Discourse-Protokolle sehr irreführend sein können! Mit dem Callback war nichts falsch.

Hallo Team,

Ich habe ein Problem beim Abrufen der ID, die ich für meine Benutzer-JSON-Anfrage aus der Autorisierungsantwort benötige. Wenn ich die Dokumentation lese, scheint es, dass die Konto-ID in einem verschachtelten Array gesendet wird:

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
   "access_token":"2YotnFZFEjr1zCsicMWpAA",
   "token_type":"Bearer",
   "expires_in":1800,
   "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
   "permissions":[
      {
        "accountId":123,
        "availableScopes":["contacts_view", "contacts_me", 
"contacts_edit", "finances_view", "events_view"]
      }
   ]
}

Ich habe versucht, den OAuth2-Callback-Benutzer-ID-Pfad auf permissions[0].accountId zu setzen, aber mein UID-Wert ist immer leer. Leider erfordern Aufrufe zum Abrufen des Benutzer-JSON diese accountId in der JSON-URL.

Ich konnte dies zum Laufen bringen, indem ich permissions.first.accountId übergab. Ich stellte fest, dass, wenn ich permissions in eine Testeigenschaft übergab, das Array bereits als Ruby-Array geparst wurde. Leider lehnen die Felder die Ruby-Syntax zum Aufrufen von Array-Elementen ab, und jeder Versuch, Javascript-Syntax zu verwenden, würde zu einem TypeError String to Integer führen. Glücklicherweise hatte Ruby die obige Syntax. Ist dies die vorgesehene Methode?

Ich habe das gerade mit Authentik OAuth2 zum Laufen gebracht, allerdings gab es einige Schwierigkeiten mit der Einstellung oauth2 user json url. Ich habe den user_info-Endpunkt von Authentik dafür verwendet (/application/o/userinfo/), wusste aber nicht, wie ich die Felder zuordnen sollte. Für alle, die Discourse mit Authentik’s OAuth2 einrichten möchten, hier ist die Zusammenfassung:

• User id path: preferred_username
• Username path: preferred_username
• Name path: name
• Email path: email
• Email verified path: email_verified
• Avatar: leer.

Ich hatte folgende Probleme:

1. Am Anfang habe ich den abschließenden Schrägstrich in der JSON-URL https://DOMAIN/application/o/userinfo/ vergessen. Dies führte dazu, dass die Benutzerinformationsanfrage (Permalink zum Quellcode) einen HTTP-Code 301 zurückgab, was zum Fehlschlag der Anmeldung führte. Ich weiß nicht, ob der abschließende Schrägstrich laut Spezifikation vorhanden sein sollte, aber vielleicht wäre es gut, 301 korrekt zu behandeln.
2. Das Debugging erwies sich als schwierig. Die Einstellung oauth2 debug auth war eine Rettung, aber… Logster kürzt das Debug-Protokoll, bevor die aussagekräftigen Antwortdaten tatsächlich ausgegeben werden. Ich musste die Protokollzeile im Container manuell ändern zu

   log("user_json_response: #{user_json_response.status} #{user_json_response.headers} #{user_json_response.body}")
   

   Vielleicht könnte diese Protokollzeile aktualisiert werden? Ich denke, das könnte anderen Leuten helfen, die JSON-Attributpfade zu ermitteln.

Ich habe Auth0 gerade mit dem Plugin eingerichtet und festgestellt, dass Avatare nicht übernommen werden.

Dies sind die relevanten Einstellungen:

  DISCOURSE_OAUTH2_ENABLED: true
  DISCOURSE_OAUTH2_CLIENT_ID: '${DISCOURSE_OAUTH2_CLIENT_ID}'
  DISCOURSE_OAUTH2_CLIENT_SECRET: '${DISCOURSE_OAUTH2_CLIENT_SECRET}'
  DISCOURSE_OAUTH2_AUTHORIZE_URL: '${DISCOURSE_OAUTH2_ISSUER}/authorize?connection=xxx&login_options=yyy'
  DISCOURSE_OAUTH2_TOKEN_URL: '${DISCOURSE_OAUTH2_ISSUER}/oauth/token'
  DISCOURSE_OAUTH2_USER_JSON_URL: '${DISCOURSE_OAUTH2_ISSUER}/userinfo'
  DISCOURSE_OAUTH2_SCOPE: 'email openid profile'
  DISCOURSE_OAUTH2_JSON_USER_ID_PATH: 'sub'
  DISCOURSE_OAUTH2_JSON_USERNAME_PATH: 'nickname'
  DISCOURSE_OAUTH2_JSON_NAME_PATH: 'name'
  DISCOURSE_OAUTH2_JSON_EMAIL_PATH: 'email'
  DISCOURSE_OAUTH2_JSON_EMAIL_VERIFIED_PATH: 'email_verified'
  DISCOURSE_OAUTH2_JSON_AVATAR_PATH: 'picture'
  DISCOURSE_OAUTH2_EMAIL_VERIFIED: true
  DISCOURSE_OAUTH2_OVERRIDES_EMAIL: true
  DISCOURSE_OAUTH2_ALLOW_ASSOCIATION_CHANGE: false

Im Debug-Log sehe ich, dass das picture-Element im JSON-Response gesetzt ist, aber der Avatar des Benutzers ändert sich nicht, weder für neue noch für bestehende Benutzer.

Was habe ich übersehen?

Was ist der beste Weg, das Symbol auf der Anmeldeschaltfläche durch ein anderes Symbol oder ein Bild zu ersetzen?

.btn-social.oauth2_basic:before {
    content: url('https://www.contoso.com/path/to/image');
}

.btn-social.oauth2_basic > svg {
    display: none;
}

fühlt sich ausreichend, aber ein wenig hacky an

Es scheint, dass das Plugin den Avatar/Benutzernamen nur bei der erstmaligen Erstellung des Benutzers aktualisiert, nicht aber jedes Mal, wenn er sich anmeldet.

Gibt es eine Möglichkeit, dies zu beheben und das Plugin auch beim Anmelden/Wiederverbinden den Avatar aktualisieren zu lassen?

Sie können die Einstellungen auth overrides email, auth overrides username und auth overrides name verwenden, damit diese bei zukünftigen Anmeldungen gelten. Ich fürchte, wir haben derzeit keine ähnliche Einstellung für Avatare, aber es wäre pr-welcome

Danke! Ich habe diese später tatsächlich gefunden. Ich habe das Repository geforkt und meine eigenen Versionen hinzugefügt, um es mit Roblox zum Laufen zu bringen, einschließlich des Overrides für Avatare. Was, glaube ich, nur den DiscourseConnect Avatar-Override verwendet, damit die Leute ihn nicht ändern können.

Eine Sache, die ich mir wünsche, ist, dass Roblox keine E-Mail bei OAuth bereitstellt, daher muss ich sie leider mit einer E-Mail registrieren lassen. Aber das ist für euch kein Problem, haha.

Ein Beitrag wurde in ein neues Thema aufgeteilt: Twitter-Login funktioniert nicht auf Meta

Weiß jemand, ob das noch funktioniert?

Ja. Ich bin zuversichtlich, dass dieses Plugin funktioniert.

Hallo, ich konnte dieses Plugin in mein Discourse discuss.frontendlead.com integrieren. Ich verwende Teachable OAuth https://docs.teachable.com/docs/oauth-quickstart-guide

Ich möchte jedoch nur zulassen, dass sich Personen erfolgreich registrieren können, wenn sie ein aktuelles bezahltes Konto bei Teachable haben. Ich stelle mir vor, dass ich benutzerdefinierte Funktionalität in das Plugin einbauen muss, um dies zu handhaben? Ich frage mich, ob Sie oder auch ich ein weiteres Feld in den Einstellungen namens „Custom Code“ nach OAuth einführen können, das es Entwicklern ermöglicht, nach der Anmeldung spezifische Aktionen durchzuführen? Oder wenn es bessere Vorschläge gibt, lassen Sie es mich bitte wissen.

Bearbeiten: Ich habe das Repository geforkt und hier zum Laufen gebracht:

Wenn jemand anderes Teachable verwendet und dasselbe versucht, funktioniert mein Repository sofort. Das Einzige ist, wenn Sie keinen Kurs gekauft haben, wird angezeigt, dass Sie zu meiner Domain gehen müssen, um ihn zu kaufen. Möglicherweise möchten Sie dies für Ihren eigenen Anwendungsfall aktualisieren.

Das ist großartig!

Es gibt eine ähnliche Situation mit der OAuth2-Registrierung mit dem Discourse Patreon-Plugin. Wenn „Mit Patreon anmelden“ aktiviert ist, können sich alle mit einem Patreon-Konto auf der Discourse-Website registrieren. Was Website-Besitzer im Allgemeinen wollen, ist, nur ihren Unterstützern die Registrierung von Discourse-Konten zu ermöglichen. Ich frage mich, ob Details von Patreon zurückgegeben werden, die es ermöglichen würden, eine ähnliche Logik zur Patreon-Authentifizierung hinzuzufügen?

Ich habe genau den gleichen Fehler wie @qlands oben.

Mein ursprünglicher Plan war, die Profilinformationen im Token zu senden. Da dies nicht funktionierte, habe ich es reduziert, um den JSON-Ansatz zu versuchen. Aber es kommt nicht einmal dazu, die JSON-Datei aufzurufen.

Die Fehlermeldung lautet:

(oauth2_basic) Authentifizierungsfehler! ungültige Anmeldeinformationen: OAuth2::Error, {
  "access_token":"fa79b6fe0763862f5a8fd8",
  "token_type":"Bearer",
  "expires_in":3600,
  "scope":"profile"
}

Sehen Sie etwas Falsches an der obigen Antwort?
Warum würde das Plugin einen Fehler bei ungültigen Anmeldeinformationen generieren, während der OAuth2-Server mit einem Token mit 200 geantwortet hat?