Come usare FIDO2 con Discourse dietro un reverse proxy?

JonahAragon1 · 9 Gennaio 2024, 8:07pm

Qualcuno ha mai capito come usare FIDO2 con Discourse dietro un reverse proxy? Sto riscontrando questo problema utilizzando il template web.socketed.template.yml con un forum dietro un Cloudflare Tunnel.

Né Yubikey 2FA né i nuovi login Passkey funzionano per me.

pmusaraj · 9 Gennaio 2024, 8:24pm

Questa è una configurazione di sviluppo? Potrebbe essere necessario sovrascrivere temporaneamente questa parte:

github.com/discourse/discourse

lib/discourse_webauthn.rb

main


      
          def self.clear_challenge(user, server_session)
            server_session.delete(session_challenge_key(user))
          end
          
          def self.allowed_credentials(user, server_session)
            return {} if !user.security_keys_enabled?
          
            {
              allowed_credential_ids: user.second_factor_security_key_credential_ids,
              challenge: challenge(user, server_session),
            }
          end
          
          def self.challenge(user, server_session)
            server_session[session_challenge_key(user)]
          end

Ed è anche probabile che sia utile utilizzare il flag --forward-host quando si esegue il server, ad esempio bin/ember-cli -u --forward-host.

JonahAragon1 · 9 Gennaio 2024, 8:28pm

No, questa è un’installazione di produzione.

pmusaraj · 9 Gennaio 2024, 8:29pm

Quali messaggi di errore stai ricevendo?

JonahAragon1 · 9 Gennaio 2024, 8:33pm

pmusaraj · 9 Gennaio 2024, 8:37pm

Qual è l’URL completo della richiesta fallita, /auth.json?

JonahAragon1 · 9 Gennaio 2024, 8:40pm

Ah, no: /session/passkey/auth.json

pmusaraj · 9 Gennaio 2024, 8:54pm

Ok, il tuo server ritiene di non essere in esecuzione sull’hostname richiesto dal browser. La procedura di generazione della chiave di sicurezza/passkey deve garantire che l’hostname del browser corrisponda a quello del server (le chiavi vengono generate per hostname).

Puoi accedere alla tua console Rails e verificare quale sia l’output di Discourse.current_hostname? Se non corrisponde all’URL che utilizzi per accedere al sito, questo è il problema.

pmusaraj · 9 Gennaio 2024, 8:56pm

Nota, questo potrebbe anche essere un problema di http vs https. Vedo che il logo cerca un URL sotto http:// sul tuo sito.

JonahAragon1 · 9 Gennaio 2024, 8:57pm

Discourse.current_hostname non corrisponde all’URL che uso per accedere al sito. C’è un modo per vedere quale hostname Discourse pensa che il mio browser stia richiedendo?

pmusaraj · 9 Gennaio 2024, 8:59pm

Cosa si ottiene per Discourse.base_url nella console?

JonahAragon1 · 9 Gennaio 2024, 9:01pm

Ah, quello è impostato su un URL http:// (con il nome host corretto). Sto usando la configurazione descritta qui per rendere Discourse accessibile a Cloudflare Tunnel:

JonahAragon1 · 9 Gennaio 2024, 9:08pm

Oh, penso di aver capito. Abilitare l’impostazione force https in Discourse sembra averlo risolto, non sono sicuro del perché fosse disattivata. Non credo fosse necessaria nella configurazione predefinita prima di aggiungere un altro reverse proxy davanti ad essa. Grazie per il tuo aiuto!

JammyDodger · 8 Febbraio 2024, 9:08pm

Questo argomento è stato chiuso automaticamente 30 giorni dopo l’ultima risposta. Non sono più consentite nuove risposte.

Argomento		Risposte	Visualizzazioni
Cannot get yubikey working Support	5	784	Giugno 8, 2024
Unable to determine Passkey issues behind Cloudflare Proxy Support passkey	0	100	Luglio 15, 2024
Error when create user passkey in browser Support passkey	12	190	Ottobre 30, 2025
Discourse behind reverse proxy and https Installation	18	7148	Marzo 13, 2022
Discourse installed in UNRAID Ubuntu Server VM behind NPM reverse proxy not resolving hostname Installation	10	865	Gennaio 30, 2024

Come usare FIDO2 con Discourse dietro un reverse proxy?

Argomenti correlati