أواجه إخفاقات OIDC في سجلات Discourse: `CSRFTokenVerifier::InvalidCSRFToken` على `/auth/oidc` (POST)

Ethsim2 · 11 فبراير 2026، 7:26ص

مرحباً بالجميع،

أنا أستخدم Discourse 2026.2.0-latest (26f3e2aa87) (تثبيت Docker، قالب nginx الافتراضي، لا يوجد Cloudflare). لدي تمكين OpenID Connect (Microsoft Entra / Azure AD).

عندما يحاول المستخدم التسجيل / تسجيل الدخول عبر OIDC، يسجل Discourse خطأ:

(oidc) فشل المصادقة! CSRFTokenVerifier::InvalidCSRFToken

في سجل الإدخال، يمكنني رؤية الطلب هو:

REQUEST_URI: /auth/oidc
REQUEST_METHOD: POST
المُحيل (Referrer): /signup

يتم تعيين same_site_cookies حاليًا على Lax.

نظريتي العاملة هي أن مزود الهوية (IdP) يعود باستخدام response_mode=form_post (نشر عبر المواقع)، لذا مع SameSite=Lax قد لا يتم تضمين ملف تعريف الارتباط للجلسة عند الاستدعاء، مما يتسبب في فشل التحقق من CSRF الخاص بـ Discourse.

أسئلة:

هل يعد تعيين same_site_cookies = None هو الإصلاح الموصى به / المدعوم لمزودي OIDC الذين يستخدمون استدعاءات form_post؟
إذا لم يكن كذلك، فهل هناك طريقة موصى بها لتكوين Discourse OIDC (أو IdP) بحيث يكون الاستدعاء عبارة عن طلب GET (استعلام) بدلاً من form_post، لتجنب الحاجة إلى SameSite=None؟
هل هناك أي محاذير أمنية/توافقية خاصة بـ SameSite=None لتسجيلات الدخول/التسجيلات في Discourse OIDC؟

شكراً!

الموضوع		الردود	مرات العرض
OIDC login via Discourse iOS app occasionally fails with csrf_detected on callback SSO openid-connect	4	64	2 فبراير 2026
CSRF problem in development with 'Discourse OpenID Connect' plug-in Dev	8	1008	28 أكتوبر 2023
"Authentication failure! csrf_detected: OmniAuth::Strategies::OAuth2::CallbackError" Error due to missing session["omniauth.state"] SSO unsupported-install	5	5195	29 مايو 2020
OAuth2 Authentication Failure: CSRF Detected Error SSO oauth2	0	117	29 أبريل 2025
OAuth2 csrf_detected with Discord 'Connect' functionality SSO	15	2146	6 يوليو 2022

أواجه إخفاقات OIDC في سجلات Discourse: `CSRFTokenVerifier::InvalidCSRFToken` على `/auth/oidc` (POST)

الموضوعات ذات الصلة