Discourse OpenID Connect (OIDC)

david · 3 أكتوبر 2024، 12:30م

مرحباً @balazsorban44، شكراً على التذكير بهذا. لقد قمت بمراجعة أولية لطلب السحب. إذا لم يكن لدى المؤلف وقت للعمل على هذه الأمور، فمن المحتمل أن نتمكن من تحملها. أتفق على أن دعم PKCE سيكون لطيفاً.

ومع ذلك، تجدر الإشارة إلى: لا أعتقد أن Discourse عرضة لهجمات “اعتراض رمز التفويض” التي يحمي منها PKCE. يتم المصادقة على Discourse دائماً في المتصفح عبر https، ولا يستخدم مخططات عناوين URL مخصصة على مستوى نظام التشغيل يمكن للتطبيقات الأخرى اعتراضها.

ولكن بالطبع، لا يضر إضافة طبقة إضافية من الأمان

balazsorban44 · 4 أكتوبر 2024، 3:39م

ليس بالضرورة القلق بشأن الأمان.

لقد عالجت الملاحظات هنا، مع الاحتفاظ بسجل المساهم الأصلي للاعتماد: feat: PKCE support by balazsorban44 · Pull Request #86 · discourse/discourse-openid-connect · GitHub

يسعدني إنهاء العمل عليه

Lander_Noterman · 14 أكتوبر 2024، 1:09م

هل وجدت حلاً لهذا؟

swt2c · 14 أكتوبر 2024، 1:26م

للأسف لا.

Lander_Noterman · 14 أكتوبر 2024، 2:07م

@swt2c لقد قمت باختراقه في المكون الإضافي عن طريق إضافة

  params << ["client_id", "<my-client-id>"]
  params << ["logout_uri", post_logout_redirect] if post_logout_redirect

بعد السطر params << ["post_logout_redirect_uri", post_logout_redirect] if post_logout_redirect في plugin.rb.

سيكون من الرائع الحصول على دعم رسمي لهذا!

david · 16 أكتوبر 2024، 11:32ص

@balazsorban44 شكراً لتولي هذا الأمر! لقد قمت للتو بدمج طلب السحب، لذا أصبح لدينا الآن دعم PKCE اختياري في المكون الإضافي

hhf.technology · 21 أكتوبر 2024، 9:48ص

مرحباً كريس،
كيف قمت بدمج Authentik مع هذا المكون الإضافي؟ أي رؤى ستكون مفيدة. نحن نكافح منذ أسبوعين لجعله يعمل بشكل صحيح.

chrisblech · 21 أكتوبر 2024، 3:27م

حسنًا، لا أتذكر شيئًا مميزًا. ما هي مشكلتك بالضبط؟ هل تريد مشاركة بعض لقطات الشاشة لتكوينك (ربما عبر رسالة خاصة)؟

hhf.technology · 21 أكتوبر 2024، 3:58م

شكرا على الرد يا كريس. بالتأكيد. سأتواصل معك لاحقًا هذا الأسبوع عندما يكون فريق التطوير الخاص بي متاحًا والذي كان يعمل على authentik. المشكلات الرئيسية تتعلق بالتدفق (flow) والخارج (outpost).

davispuh · 9 فبراير 2025، 7:29م

لدي مشكلة مثيرة للاهتمام، قبل النشر علنًا، أريد اختبار أن كل شيء يعمل، لذا فإن موفر OIDC الخاص بي مستضاف محليًا (شبكة فرعية خاصة) وغير متاح من الإنترنت.
للأسف، يفشل هذا لأن Discourse لا يسمح بالاتصال بعناوين IP الخاصة.
oidc.example.org يحل إلى عنوان IP خاص.

سجل OIDC: جلب وثيقة الاكتشاف من https://oidc.example.org/application/o/discourse/.well-known/openid-configuration
سجل OIDC: جلب وثيقة الاكتشاف أثار خطأ Faraday::ConnectionFailed FinalDestination: تم حظر جميع عناوين IP المحلولة
سجل OIDC: وثيقة الاكتشاف هي

---

(oidc) بدأت مرحلة الطلب.
(oidc) فشل المصادقة! openid_connect_discovery_error: OmniAuth::OpenIDConnect::DiscoveryError، وثيقة الاكتشاف مفقودة

أعتقد أنه نظرًا لأن openid_connect_discovery_document يمكن تغييره فقط بواسطة المسؤول، فيجب الوثوق به والسماح حتى بعناوين IP الخاصة.

github.com/discourse/discourse

lib/final_destination/ssrf_detector.rb

main

# frozen_string_literal: true

class FinalDestination
  module SSRFDetector
    class DisallowedIpError < SSRFError
    end

    class LookupFailedError < SSRFError
    end

    # This is a list of private IPv4 IP ranges that are not allowed to be globally reachable as given by
    # https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml.
    PRIVATE_IPV4_RANGES = [
      IPAddr.new("0.0.0.0/8"),
      IPAddr.new("10.0.0.0/8"),
      IPAddr.new("100.64.0.0/10"),
      IPAddr.new("127.0.0.0/8"),
      IPAddr.new("169.254.0.0/16"),
      IPAddr.new("172.16.0.0/12"),
      IPAddr.new("192.0.0.0/24"),

This file has been truncated. show original

david · 10 فبراير 2025، 10:53ص

يوجد إعداد موقع يسمى ‘allowed_internal_hosts’. إذا أضفت اسم المضيف الداخلي إلى تلك القائمة، فسيتم السماح بالطلبات إليه عبر كاشف SSRF.

في خدمات الاستضافة المشتركة (مثل الاستضافة الرسمية discourse.org)، لا يُوثق بالمسؤولين لإجراء طلبات داخل بيئة الاستضافة، وهذا هو سبب وجود هذا الحماية افتراضيًا.

Cesare_Caoduro · 24 فبراير 2025، 5:54ص

عذرًا، لكنني لست متأكدًا من أنني أستطيع اتباع التعليمات لتثبيت الإضافة. أنا أستخدم Discourse في بيئة Docker المحلية الخاصة بي، ولا أستطيع حقًا العثور على ملف app.yml لإضافة التكوين.
قد يكون سؤالاً غبيًا، ولكن هل هناك دليل لتثبيت في بيئة تطوير محلية؟

NateDhaliwal · 24 فبراير 2025، 7:09ص

بالنسبة لبيئة تطوير Docker، جرب التحقق تحت /var/discourse/containers/app.yml؟
ولكن، بالنسبة لتثبيتات التطوير غير Docker، انظر هنا:

Cesare_Caoduro · 24 فبراير 2025، 7:22ص

المشكلة هي أنني لا أستطيع العثور على مجلد containers

NateDhaliwal · 24 فبراير 2025، 7:28ص

بافتراض أنك اتبعت هذا الدليل، ربما اتبع هذا المنشور لتثبيت الإضافات؟

zabin · 5 مارس 2025، 7:57م

مرحباً.
لقد أضفت هذه الإضافة وهي تعمل بشكل جيد. المشكلة التي أراها هي أن تطبيق Discourse الخاص بنا لديه أسماء مستعارة، لذا يمكنني تسجيل الدخول بعنوان URL واحد. تم تكوين كليهما في Azure مع عناوين URL مناسبة للاستدعاء. لاحظت أن المكالمة إلى https://discourse.company.com/auth/oidc تُرجع عنوان URL للموقع مع عنوان URL المستعار، مثل https://login-blah-bla/authorize?client_id=&redirect_uri=https%3A%2F%[2Fdiscourse.us.company.com](http://2fdiscourse.us.company.com/)%2Fauth%2Foidc%2Fcallback.
ألا ينبغي أن يحترم عنوان URL الأصلي؟

هناك openid_connect_error_redirects ولكن أعتقد أن هذا في حالة حدوث أخطاء. أي فكرة كيف يمكنني تغيير إعادة التوجيه إلى السلطة (المعروفة أيضًا باسم discourse.company.com).

steinhh · 13 مارس 2025، 3:55م

خلال تثبيت حزمي يدويًا، أحصل على هذا:

رسالة بعد التثبيت من oauth2:

لقد قمت بتثبيت إصدار oauth2 1.4.11، وهو إصدار نهاية دعمه.
لا يُتوقع دعم إضافي للسلسلة 1.4.x.

وتوصيات بالترقية إلى إصدار oauth2 2. سيكون من الأفضل عدم ظهور مثل هذه الرسائل، هل لديك خطط للترقية؟

كما أرى أن لديك:
لقد قمت بتثبيت oauth إصدار 1.1.0، مبروك!

الدعم غير التجاري للسلسلة 1.x سينتهي بحلول أبريل 2025. يرجى وضع خطة للترقية إلى الإصدار التالي قبل ذلك التاريخ.
الالتغيير الوحيد هو إلغاء دعم Ruby 2.7 وأي إصدارات أخرى ستصل أيضًا إلى نهاية عمرها الافتراضي بحلول ذلك الوقت.

لكن أعتقد أن هذا ليس “أنت”؟

SamKer · 28 مايو 2025، 12:26م

مرحبًا،
خيار “السماح بتسجيلات جديدة” مطلوب بشكل صارم لتشغيل المكون الإضافي. يسمح هذا بإنشاء الحساب تلقائيًا عند الاتصال الأول بـ discourse ويعرض زر “تسجيل”. ولكن هل من الممكن السماح بتعطيله: أي عدم السماح للمستخدم الذي يتصل عبر openidconnect بتعديل معالم (parameters) حسابه وإنشاء حسابه مباشرةً. سيؤدي هذا إلى إزالة أزرار “تسجيل” المعروضة والتي لا ينبغي أن تكون موجودة في هذا السياق.
مع خالص التقدير

marlowleon · 18 يونيو 2025، 11:23م

هل تمكنت من اكتشاف ذلك؟ أنا عالق على نفس الرسالة.

marlowleon · 19 يونيو 2025، 3:00ص

مرحبًا، هل تمكنت من إعداد هذا؟ لا أعرف لماذا أنا عالق تمامًا مع هذا، فمن بين مئات التطبيقات التي أدرتها باستخدام OpenID أو المصادقة، هذا هو الذي يسبب لي أكبر قدر من المتاعب.

الموضوع		الردود	مرات العرض
Discourse OAuth2 Basic Plugin official , oauth2 , auth-plugins , included-in-core	31	64089	24 يوليو 2025
Use Discourse as an identity provider (SSO, DiscourseConnect) Integrations sso , discourseconnect , how-to	143	49255	9 نوفمبر 2024
Configure sign up and log in with Auth0 using the OAuth2 Basic Plugin Integrations sso , oauth2 , auth-plugins , how-to	72	19427	10 أبريل 2025
Well known support? SSO oauth2	0	471	28 مايو 2023
Setup DiscourseConnect - Official Single-Sign-On for Discourse (sso) Integrations sso , discourseconnect , configuring , how-to	42	450556	13 نوفمبر 2025

Discourse OpenID Connect (OIDC)

الموضوعات ذات الصلة