Wie benutzt man FIDO2 mit Discourse hinter einem Reverse Proxy?

JonahAragon1 · 9. Januar 2024 um 20:07

Hat jemand herausgefunden, wie man FIDO2 mit Discourse hinter einem Reverse-Proxy verwendet? Ich habe dieses Problem mit der Vorlage web.socketed.template.yml mit einem Forum hinter einem Cloudflare Tunnel.

Weder Yubikey 2FA noch die neuen Passkey-Logins funktionieren bei mir.

pmusaraj · 9. Januar 2024 um 20:24

Befindet sich dies in einer Entwicklungsumgebung? Möglicherweise müssen Sie diesen Teil vorübergehend überschreiben:

github.com/discourse/discourse

lib/discourse_webauthn.rb

main


      
          def self.clear_challenge(user, server_session)
            server_session.delete(session_challenge_key(user))
          end
          
          def self.allowed_credentials(user, server_session)
            return {} if !user.security_keys_enabled?
          
            {
              allowed_credential_ids: user.second_factor_security_key_credential_ids,
              challenge: challenge(user, server_session),
            }
          end
          
          def self.challenge(user, server_session)
            server_session[session_challenge_key(user)]
          end

Es ist auch wahrscheinlich hilfreich, die Option --forward-host beim Ausführen des Servers zu verwenden, d. h. bin/ember-cli -u --forward-host.

JonahAragon1 · 9. Januar 2024 um 20:28

Nein, dies ist eine Produktionsinstallation.

pmusaraj · 9. Januar 2024 um 20:29

Welche Fehlermeldungen erhalten Sie?

JonahAragon1 · 9. Januar 2024 um 20:33

pmusaraj · 9. Januar 2024 um 20:37

Was ist die vollständige URL der fehlgeschlagenen Anfrage, /auth.json?

JonahAragon1 · 9. Januar 2024 um 20:40

Ah, nein: /session/passkey/auth.json

pmusaraj · 9. Januar 2024 um 20:54

Ok, Ihr Server glaubt, dass er nicht auf dem Hostnamen läuft, den der Browser anfordert. Das Verfahren zur Generierung des Sicherheitsschlüssels/Passkeys muss sicherstellen, dass der Hostname des Browsers mit dem des Servers übereinstimmt (Schlüssel werden pro Hostname generiert).

Können Sie sich bei Ihrer Rails-Konsole anmelden und die Ausgabe von Discourse.current_hostname überprüfen? Wenn diese nicht mit der URL übereinstimmt, über die Sie auf die Website zugreifen, ist das das Problem.

pmusaraj · 9. Januar 2024 um 20:56

Beachten Sie, dass dies auch ein Problem mit http vs. https sein könnte. Ich sehe, dass das Logo auf Ihrer Website nach einer URL unter http:// sucht.

JonahAragon1 · 9. Januar 2024 um 20:57

Discourse.current_hostname stimmt mit der URL, die ich für den Zugriff auf die Website verwende, überein. Gibt es eine Möglichkeit zu sehen, was Discourse denkt, dass mein Browser anfordert?

pmusaraj · 9. Januar 2024 um 20:59

Was erhalten Sie für Discourse.base_url in der Konsole?

JonahAragon1 · 9. Januar 2024 um 21:01

Ah, das ist auf eine http://-URL (mit dem korrekten Hostnamen) gesetzt. Ich verwende die hier beschriebene Einrichtung, um Discourse für Cloudflare Tunnel zugänglich zu machen:

JonahAragon1 · 9. Januar 2024 um 21:08

Oh, ich glaube, ich habe es. Das Aktivieren der Einstellung force https in Discourse scheint es behoben zu haben. Ich bin mir nicht sicher, warum sie deaktiviert war. Ich glaube nicht, dass sie in der Standardkonfiguration notwendig war, bevor ein weiterer Reverse-Proxy davor geschaltet wurde. Danke für deine Hilfe!

JammyDodger · 8. Februar 2024 um 21:08

Dieses Thema wurde 30 Tage nach der letzten Antwort automatisch geschlossen. Neue Antworten sind nicht mehr möglich.

Thema		Antworten	Aufrufe
Cannot get yubikey working Support	5	784	8. Juni 2024
Unable to determine Passkey issues behind Cloudflare Proxy Support passkey	0	100	15. Juli 2024
Error when create user passkey in browser Support passkey	12	190	30. Oktober 2025
Discourse behind reverse proxy and https Installation	18	7148	13. März 2022
Discourse installed in UNRAID Ubuntu Server VM behind NPM reverse proxy not resolving hostname Installation	10	865	30. Januar 2024

Wie benutzt man FIDO2 mit Discourse hinter einem Reverse Proxy?

Verwandte Themen