Comment utiliser FIDO2 avec Discourse derrière un proxy inverse ?

JonahAragon1 · Janvier 9, 2024, 8:07

Quelqu’un a-t-il déjà trouvé comment utiliser FIDO2 avec Discourse derrière un proxy inverse ? Je rencontre ce problème en utilisant le modèle web.socketed.template.yml avec un forum derrière un Cloudflare Tunnel.

Ni la 2FA Yubikey ni les nouvelles connexions Passkey ne fonctionnent pour moi.

pmusaraj · Janvier 9, 2024, 8:24

Est-ce sur un environnement de développement ? Vous devrez peut-être remplacer temporairement ce bout :

github.com/discourse/discourse

lib/discourse_webauthn.rb

main


      
          def self.clear_challenge(user, server_session)
            server_session.delete(session_challenge_key(user))
          end
          
          def self.allowed_credentials(user, server_session)
            return {} if !user.security_keys_enabled?
          
            {
              allowed_credential_ids: user.second_factor_security_key_credential_ids,
              challenge: challenge(user, server_session),
            }
          end
          
          def self.challenge(user, server_session)
            server_session[session_challenge_key(user)]
          end

Il est également probable qu’il soit utile d’utiliser l’indicateur --forward-host lors de l’exécution du serveur, c’est-à-dire bin/ember-cli -u --forward-host.

JonahAragon1 · Janvier 9, 2024, 8:28

Non, il s’agit d’une installation de production.

pmusaraj · Janvier 9, 2024, 8:29

Quels messages d’erreur recevez-vous ?

JonahAragon1 · Janvier 9, 2024, 8:33

pmusaraj · Janvier 9, 2024, 8:37

Quelle est l’URL complète de la requête échouée, /auth.json ?

JonahAragon1 · Janvier 9, 2024, 8:40

Ah, non : /session/passkey/auth.json

pmusaraj · Janvier 9, 2024, 8:54

Ok, votre serveur pense qu’il ne fonctionne pas sur le nom d’hôte demandé par le navigateur. La procédure de génération de clé de sécurité / de mot de passe doit s’assurer que le nom d’hôte du navigateur correspond à celui du serveur (les clés sont générées par nom d’hôte).

Pouvez-vous vous connecter à votre console Rails et vérifier ce que renvoie Discourse.current_hostname ? S’il ne correspond pas à l’URL que vous utilisez pour accéder au site, c’est le problème.

pmusaraj · Janvier 9, 2024, 8:56

Notez que cela pourrait également être un problème de http par rapport à https. Je vois que le logo recherche une URL sous http:// sur votre site.

JonahAragon1 · Janvier 9, 2024, 8:57

Discourse.current_hostname ne correspond pas à l’URL que j’utilise pour accéder au site. Existe-t-il un moyen de voir ce que Discourse pense que mon navigateur demande comme nom d’hôte ?

pmusaraj · Janvier 9, 2024, 8:59

Qu’obtenez-vous pour Discourse.base_url dans la console ?

JonahAragon1 · Janvier 9, 2024, 9:01

Ah, c’est bien configuré sur une URL http:// (avec le bon nom d’hôte). J’utilise la configuration décrite ici pour rendre Discourse accessible à Cloudflare Tunnel :

JonahAragon1 · Janvier 9, 2024, 9:08

Oh, je pense que j’ai compris. L’activation du paramètre force https dans Discourse semble l’avoir résolu, je ne suis pas sûr pourquoi il était désactivé. Je ne pense pas qu’il était nécessaire dans la configuration par défaut avant d’ajouter un autre proxy inverse devant. Merci pour votre aide !

JammyDodger · Février 8, 2024, 9:08

Ce sujet a été automatiquement fermé 30 jours après la dernière réponse. Les nouvelles réponses ne sont plus autorisées.

Sujet		Réponses	Vues
Cannot get yubikey working Support	5	784	Juin 8, 2024
Unable to determine Passkey issues behind Cloudflare Proxy Support passkey	0	100	Juillet 15, 2024
Error when create user passkey in browser Support passkey	12	191	Octobre 30, 2025
Discourse behind reverse proxy and https Installation	18	7150	Mars 13, 2022
Discourse installed in UNRAID Ubuntu Server VM behind NPM reverse proxy not resolving hostname Installation	10	866	Janvier 30, 2024

Comment utiliser FIDO2 avec Discourse derrière un proxy inverse ?

Sujets connexes