Ciao a tutti,
Stiamo creando un’interfaccia per un server Discourse self-hosted. Il server è all’ultima versione al momento della scrittura. Il nostro codice viene eseguito su un dominio diverso.
Abbiamo configurato tutto, riceviamo la chiamata SSO firmata da Discourse e rispondiamo con quella che riteniamo essere una risposta firmata corretta, secondo questo.
Guardando i log di Discourse, la nostra risposta sembra essere firmata correttamente e i campi che restituiamo vengono analizzati correttamente. Anche il nonce è identico. Nonostante tutto ciò, la transazione termina sempre con un errore 419 “Nonce non corretto, è stato generato in una sessione del browser diversa o è scaduto”.
Il nonce è effettivamente corretto; non può essere scaduto poiché rispondiamo immediatamente; e una sessione del browser diversa - beh, la risposta proviene dal browser dell’utente, quindi…?
Abbiamo aggiunto “*” ai “domini di reindirizzamento consentiti”, abbiamo provato ad aggiungere il nostro server di applicazioni all’elenco CORS (e impostato la variabile d’ambiente appropriata). Nessun cambiamento.
Dobbiamo star facendo qualcosa di sbagliato… Apprezzerei qualsiasi aiuto per uscire da questo vicolo cieco 