Error de autenticación de Google

Kostya_Vasilyev · 7 Octubre, 2020 08:40

Hola,

Soy nuevo en Discourse. Recientemente creé un foro y ahora estoy en proceso de migrar el sitio y el foro a un nuevo nombre de dominio.

El dominio anterior del foro: https://forum.skymail.app (no activo, redirige al nuevo sitio)

Nuevo dominio: https://forum.sugarmail.app (operativo)

Tengo problemas con la autenticación de Google. Tengo un proyecto en Google Cloud y, tras cambiar al nuevo dominio, también actualicé la URL de redirección en el ID de cliente allí, por lo que actualmente está configurada como

https://forum.sugarmail.app/auth/google_oauth2/callback

Ahora el problema. Al intentar “registrarse con Google”, obtengo este error en Discourse:

https://forum.sugarmail.app/auth/failure?message=csrf_detected La autorización ha expirado o has cambiado de navegador. Por favor, inténtalo de nuevo.

Cuando el foro estaba bajo el dominio antiguo, forum.skymail.app, la autenticación de Google funcionaba sin problemas.

Ejecuté ./launcher rebuild app después de cambiar el dominio, asegurándome de actualizar el dominio en app.yaml bajo DISCOURSE_HOSTNAME (de hecho, el foro no cargaba en absoluto hasta que lo hice).

¿Alguna sugerencia, por favor?

david · 7 Octubre, 2020 09:40

Normalmente, cuando inicias el flujo de inicio de sesión, se establece la cookie _forum_session en tu navegador. Sin embargo, en tu sitio, eso no parece estar ocurriendo.

¿Tienes algún plugin o proxy que pueda estar interfiriendo con las cookies de tu sitio?

Kostya_Vasilyev · 7 Octubre, 2020 11:02

Gracias por la respuesta.

Plugins: no, no estoy usando ninguno. Lo único que hice después de la instalación fue habilitar la autenticación de Google (ID de cliente y secreto) y activar “usar siempre HTTPS”.

Proxies: estoy usando nginx como proxy inverso (que también sirve el sitio principal de la aplicación).

    # discourse
    location / {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_pass_request_headers on;
            proxy_pass http://localhost:10080;
    }

y en containers/app.yaml

expose:
  - "10080:80"   # http
  - "10443:443" # https

Let’s Encrypt en la configuración de Discourse no está habilitado. Por lo tanto, el nginx dentro del contenedor sirve HTTP sin cifrar, y el nginx externo realiza la terminación SSL.

Esta configuración es casi la misma que tenía con el dominio antiguo; la única diferencia es “forzar HTTPS”.

Estoy ejecutando la versión 2.6.0.beta3.

Kostya_Vasilyev · 7 Octubre, 2020 11:05

¡Vaya, maldición! Resulta que es “forzar HTTPS”, lo cual tenía desactivado anteriormente.

Lo activé recientemente para evitar la advertencia de Chrome sobre “contenido de página inseguro”, que aparecía debido a enlaces HTTP sin cifrar a imágenes.

Para reiterar: yo realizo la terminación SSL en el nginx “externo”, y en lo que respecta a Discourse en sí, no hay SSL.

Desactivar “forzar HTTPS” hace que la autenticación de Google vuelva a funcionar (tuve que agregar una URL de redirección HTTP sin cifrar en el proyecto de Google Cloud).

Pero eso no es bueno, porque aparecerán advertencias de “sitio inseguro” o contenido mixto tan pronto como haya imágenes.

¿Existe alguna forma de mantener la autenticación de Google funcionando con “forzar HTTPS” y la terminación SSL fuera de Discourse?

(Preferiría usar el soporte SSL propio de Discourse, pero asume que “posee” el dominio, por lo que tendría que configurar una dirección IP adicional para este VPS y separar el sitio principal del foro… lo cual es un poco laborioso…)

riking · 7 Octubre, 2020 11:54

Asegúrate de enviar X-Forwarded-Proto: https.

Kostya_Vasilyev · 7 Octubre, 2020 13:03

Gracias @riking. He copiado tal cual el bloque de nginx desde tu enlace y luego habilité la opción “forzar HTTPS”, como recomienda la consola de administración de Discourse.

Mi foro ya está de nuevo en línea y funcionando, y la autenticación con Google también funciona.

Sin embargo, persiste un problema:

Tanto Chrome como Firefox me muestran advertencias sobre contenido de página inseguro.

Al revisar el rastreo de red en las herramientas de desarrollador de Chrome, se trata de este enlace (HTTP plano, no HTTPS):

http://forum.sugarmail.app/uploads/default/optimized/1X/_129430568242d1b7f853bb13ebea28b3f6af4e7_2_512x512.png

Kostya_Vasilyev · 7 Octubre, 2020 13:05

Ah, olvídalo. Acabo de establecer un nuevo favicon personalizado y ahora se carga mediante HTTPS. Ya no hay advertencias de “contenido mixto”.

Maravilloso, ¡gracias por tu ayuda!

Tema		Respuestas	Vistas
Redirect URI mismatch in Google Auth Support	2	1083	16 Agosto 2019
How to Resolve redirect_uri_mismatch Error When Enabling Google Login in Discourse with Reverse Proxy Setup? Support	3	138	21 Enero 2025
Oauth2 redirect_uri uses HTTP when my forum is using HTTPS SSO oauth2	6	1670	8 Julio 2018
Google login regression, possibly after recent changes Support social-auth	5	239	5 Enero 2025
Twitter, Github and normal username and password logins not working after upgrade Self-hosting unsupported-install	35	7431	22 Octubre 2016

Error de autenticación de Google

Temas relacionados