¿Cómo usar FIDO2 con Discourse detrás de un proxy inverso?

JonahAragon1 · 9 Enero, 2024 20:07

¿Alguien ha descubierto cómo usar FIDO2 con Discourse detrás de un proxy inverso? Estoy teniendo este problema usando la plantilla web.socketed.template.yml con un foro detrás de un Cloudflare Tunnel.

Ni el 2FA de Yubikey ni los nuevos inicios de sesión con Passkey me funcionan.

pmusaraj · 9 Enero, 2024 20:24

¿Está esto en un entorno de desarrollo? Es posible que necesites anular esta parte temporalmente:

github.com/discourse/discourse

lib/discourse_webauthn.rb

main


      
          def self.clear_challenge(user, server_session)
            server_session.delete(session_challenge_key(user))
          end
          
          def self.allowed_credentials(user, server_session)
            return {} if !user.security_keys_enabled?
          
            {
              allowed_credential_ids: user.second_factor_security_key_credential_ids,
              challenge: challenge(user, server_session),
            }
          end
          
          def self.challenge(user, server_session)
            server_session[session_challenge_key(user)]
          end

Y también es probable que sea útil usar la bandera --forward-host al ejecutar el servidor, es decir, bin/ember-cli -u --forward-host.

JonahAragon1 · 9 Enero, 2024 20:28

No, esta es una instalación de producción.

pmusaraj · 9 Enero, 2024 20:29

¿Qué mensajes de error estás recibiendo?

JonahAragon1 · 9 Enero, 2024 20:33

pmusaraj · 9 Enero, 2024 20:37

¿Cuál es la URL completa de la solicitud fallida, /auth.json?

JonahAragon1 · 9 Enero, 2024 20:40

Ah, no: /session/passkey/auth.json

pmusaraj · 9 Enero, 2024 20:54

Ok, entonces tu servidor cree que no se está ejecutando en el nombre de host que solicita el navegador. El procedimiento de generación de claves de seguridad / contraseñas debe garantizar que el nombre de host del navegador coincida con el del servidor (las claves se generan por nombre de host).

¿Puedes iniciar sesión en tu consola de Rails y verificar cuál es la salida de Discourse.current_hostname? Si no coincide con la URL que usas para acceder al sitio, ese es el problema.

pmusaraj · 9 Enero, 2024 20:56

Tenga en cuenta que esto también podría ser un problema de http frente a https. Veo que el logotipo busca una URL en http:// en su sitio.

JonahAragon1 · 9 Enero, 2024 20:57

Discourse.current_hostname no coincide con la URL que uso para acceder al sitio. ¿Hay alguna forma de ver qué cree Discourse que es el nombre de host que mi navegador está solicitando?

pmusaraj · 9 Enero, 2024 20:59

¿Qué obtienes para Discourse.base_url en la consola?

JonahAragon1 · 9 Enero, 2024 21:01

Ah, eso está configurado en una URL http:// (con el nombre de host correcto). Estoy usando la configuración descrita aquí para hacer que Discourse sea accesible a Cloudflare Tunnel:

JonahAragon1 · 9 Enero, 2024 21:08

Oh, creo que lo entiendo. Habilitar la configuración force https en Discourse parece haberlo solucionado, no estoy seguro de por qué estaba desactivada. No creo que fuera necesaria en la configuración predeterminada antes de añadir otro proxy inverso delante de ella. ¡Gracias por tu ayuda!

JammyDodger · 8 Febrero, 2024 21:08

Este tema se cerró automáticamente 30 días después de la última respuesta. Ya no se permiten nuevas respuestas.

Tema		Respuestas	Vistas
Cannot get yubikey working Support	5	784	8 Junio 2024
Unable to determine Passkey issues behind Cloudflare Proxy Support passkey	0	100	15 Julio 2024
Error when create user passkey in browser Support passkey	12	190	30 Octubre 2025
Discourse behind reverse proxy and https Installation	18	7148	13 Marzo 2022
Discourse installed in UNRAID Ubuntu Server VM behind NPM reverse proxy not resolving hostname Installation	10	865	30 Enero 2024

¿Cómo usar FIDO2 con Discourse detrás de un proxy inverso?

Temas relacionados