Is there an endpoint to check if a user is logged in

pfaffman · 25. Oktober 2017 um 18:26

I need a URL that will return 200 for a logged in user and 401 or 403 if the user is not logged in.

If require_login is checked, every page does a 301 to the login page.

DeanMarkTaylor · 25. Oktober 2017 um 19:40

Is this a user request, i.e. using the current users session?

Or…

Is this an admin API request using an admin API key?

pfaffman · 25. Oktober 2017 um 19:59

Yeah. It’s me not understanding the question I’m asking.

I’m trying to do an auth_request in NGINX to tell whether the request is coming from a user that’s logged in by querying an URL to see whether it gets a 200 response or not.

It’s occurring to me that doing that is not quite as simple as I’d hoped.

DeanMarkTaylor · 25. Oktober 2017 um 20:46

You could try /session/current.json

It will return 200 if authenticated and 404 if not.

Generally .json / API requests don’t redirect.

github.com/discourse/discourse

app/controllers/application_controller.rb

main


      
          def no_cookies
            # do your best to ensure response has no cookies
            # longer term we may want to push this into middleware
            headers.delete "Set-Cookie"
            request.session_options[:skip] = true
          end
          
          def handle_permalink(path)
            permalink = Permalink.find_by_url(path)
            if permalink && permalink.target_url
              redirect_to permalink.target_url, status: :moved_permanently
            end
          end
          
          def rate_limit_second_factor!(user)

pfaffman · 25. Oktober 2017 um 20:57

That seems promising. I’ll keep poking at it.

Many thanks!

j127 · 20. Juli 2018 um 20:29

Is there an easy way to do this from a different subdomain?

Example, the forum is at forum.example.com and the request is coming from example.com (either from the frontend or backend code).

pfaffman · 21. Juli 2018 um 04:11

Sure. You can make an API call from anywhere.

michaeld · 21. Juli 2018 um 11:00

But this specific call needs to be done from the frontend, since it will use the session cookies sent by the browser to the forum.

j127 · 21. Juli 2018 um 15:16

The Discourse session cookie appears to be just for the subdomain, so would the cookie be accessible from the top-level domain? I see _forum_session on the Discourse subdomain but it doesn’t appear when visiting the TLD.

If the cookie were available on the top-level domain, I was thinking that it would also be passed to the backend, so the backend could forward it to Discourse, but I’m not sure.

Maybe it requires using Discourse as an SSO provider? If it isn’t known whether the user is logged in, then we could redirect through the SSO process to check. I’m currently setting it up on a test server to see if it would work.

Edit: my end goal is to generate a JWT with the user data from Discourse (only if logged in to Discourse) and pass it to Firebase. There is a Discourse server on the subdomain, an extra backend server that can perform additional logic, and an SPA that connects to Firebase if given a JWT.

sam · 23. Juli 2018 um 01:22

If you want anything fancy like this you would need to implement your own CurrentUserProvider

j127 · 23. Juli 2018 um 02:46

Thanks, I just looked it up and found this other thread, so I’ll ask some more questions about it over there.

Edit: it looks like we can do what we need with Discourse as an SSO provider.

sam · 23. Juli 2018 um 21:43

If you can do it with SSO I highly recommend you go that path vs a provider

j127 · 24. Juli 2018 um 00:03

Thanks, it looks like we can check if a user is logged in and then redirect through Discourse’s SSO route if not logged in. It seems to work well on my laptop. The user logout webhook from Discourse can then log them out of the other app.

BunnyMan · 19. Januar 2020 um 19:53

Könntet ihr mir bitte kurz erklären, wie man prüfen kann, ob ein Benutzer bei Discourse von einer anderen Subdomain aus angemeldet ist? Ich versuche, ein Auth-Middleware in meinen Route-Handlern (auf dem Server) zu implementieren, um zu prüfen, ob die SSO-Anmeldung des Benutzers bei Discourse noch gültig ist.

Ich versuche, fast dasselbe für eine Web-App zu implementieren, komme aber nicht darauf, wie man prüft, ob der Benutzer noch angemeldet ist. (Bevorzugt: angemeldet im selben Browser, der aktuell verwendet wird, um die Anfrage an den Server zu senden.)
Vielen Dank!

j127 · 20. Januar 2020 um 19:14

Mein Code dafür ist noch nicht live, aber wenn der Benutzer über einen anderen Server umgeleitet wird (mit Discourse als SSO-Anbieter), dann existiert eine Sitzung auf diesem externen Server. Ich habe dort eine Route erstellt, etwa /auth/is-authenticated, die den Status des Benutzers zurückgibt. Sie dient hauptsächlich dazu, die „Anmelden“-Buttons auszublenden, wenn der Benutzer bereits angemeldet ist. Wenn sich der Benutzer bei Discourse abmeldet, denke ich, dass ein Webhook ihn auch auf dem anderen Server abmeldet. Ich habe den Code schon eine Weile nicht mehr geprüft, aber ich glaube, so habe ich es eingerichtet.

BunnyMan · 20. Januar 2020 um 20:08

Wie kann ein externer Server prüfen, ob der Browser des Benutzers noch bei Discourse angemeldet ist? Ich glaube nicht, dass eine andere Domain sogar auf die nach der Anmeldung gesetzten Discourse-Cookies zugreifen kann.

Mein Ziel ist es, den Benutzer vom externen (nicht Discourse) Server abzumelden, wenn der Benutzer sich nur im aktuellen aktiven Browser von Discourse abgemeldet hat. (Ist das überhaupt möglich?)

Danke für die Antwort.

j127 · 20. Januar 2020 um 21:30

Wenn sich der Benutzer in der externen Anwendung befindet, klickt er auf eine Anmeldeschaltfläche und wird durch den SSO-Provider-Flow von Discourse geleitet, bevor er zurück zur externen Anwendung weitergeleitet wird. Diese externe Anwendung kann eine Sitzung mit den Benutzerdaten speichern. Wenn sich der Benutzer bei Discourse abmeldet, kann der Webhook die Sitzung der externen Anwendung löschen. Ich bin mir nicht sicher, aber ich glaube, der Webhook-Header lautet X-Discourse-Event: user_logged_out.

Bearbeitung: Die Abmeldung von der externen Seite erfolgt über die Discourse-API.

Anstatt Discourse zu fragen, ob ein Benutzer angemeldet ist, können Sie die externe Anwendung fragen. In meinem Fall dient dies nur dazu, beispielsweise die Anmeldeschaltfläche auf der externen Seite auszublenden.

Ich kann meinen Code später noch einmal überprüfen. Ich habe ihn schon eine Weile nicht mehr angesehen, aber ich glaube, er hat etwas Ähnliches gemacht.

BunnyMan · 21. Januar 2020 um 05:41

Danke für die Antwort! Ich schätze das wirklich.

Ja, das ist mir jetzt klar. Der einzige Haken beim Abmelden mit der API ist, dass der Benutzer von allen Sitzungen abgemeldet wird (auf allen Geräten – da die API nicht zwischen der aktuellen Sitzung des Browsers und anderen angemeldeten Browsern unterscheiden kann).

Thema		Antworten	Aufrufe
Get logged in user info from another website SSO	11	436	15. Februar 2024
How can I check in my website if the user is logged in to my Discourse? Development	3	888	31. Mai 2023
Cookie Based Authentication in discourse via Plugin SSO	6	2209	5. September 2018
Detecting user already logged in when using SSO Feature sso , discourseconnect	11	5499	4. Dezember 2025
Checking whether a user is logged in on Discourse from another website SSO	6	383	22. August 2024

Is there an endpoint to check if a user is logged in

Verwandte Themen