我在 Discourse 日志中看到 OIDC 失败：`/auth/oidc` (POST) 出现 `CSRFTokenVerifier::InvalidCSRFToken`

Ethsim2 · 2026 年2 月 11 日 07:26

大家好，

我正在运行 Discourse 2026.2.0-latest (26f3e2aa87)（Docker 安装，默认 nginx 模板，无 Cloudflare）。我启用了 OpenID Connect（Microsoft Entra / Azure AD）。

当用户尝试通过 OIDC 注册/登录时，Discourse 会记录一个错误：

(oidc) Authentication failure! CSRFTokenVerifier::InvalidCSRFToken

在日志条目中，我可以看到请求是：

same_site_cookies 当前设置为 Lax。

我的工作理论是 IdP 使用 response_mode=form_post（跨站点 POST）返回，因此使用 SameSite=Lax 时，会话 cookie 可能不会包含在回调中，导致 Discourse 的 CSRF 验证失败。

问题：

将 same_site_cookies = None 设置为使用 form_post 回调的 OIDC 提供程序的推荐/支持的修复方法吗？
如果不是，是否有推荐的方法来配置 Discourse OIDC（或 IdP），使回调是 GET（查询）而不是 form_post，以避免需要 SameSite=None？
对于 Discourse OIDC 注册/登录，SameSite=None 是否有任何安全/兼容性注意事项？

谢谢！

话题		回复	浏览量
OIDC login via Discourse iOS app occasionally fails with csrf_detected on callback SSO openid-connect	4	63	2026 年2 月 2 日
CSRF problem in development with 'Discourse OpenID Connect' plug-in Dev	8	1008	2023 年10 月 28 日
"Authentication failure! csrf_detected: OmniAuth::Strategies::OAuth2::CallbackError" Error due to missing session["omniauth.state"] SSO unsupported-install	5	5195	2020 年5 月 29 日
OAuth2 Authentication Failure: CSRF Detected Error SSO oauth2	0	117	2025 年4 月 29 日
OAuth2 csrf_detected with Discord 'Connect' functionality SSO	15	2146	2022 年7 月 6 日