Firefoxの最新版でSSO URLに問題が発生

Vaping_Community · 2020 年 12 月 9 日午後 6:52

コードは以下の通りです。どうぞよろしくお願いいたします。

私はこれを修正しました Discourse sso provider login · GitHub
これを使用しているサイトで Firefox に問題があるサイトのリンク：https://vceliquidrecipes.com/

ログインフォーム

<div class="row mt-1">
    <div class="col-md-12 d-flex justify-content-center">
        <p><a class="btn btn-success" href="'.$discourse_url.'/session/sso_provider?'.$query.'" role="button">サインイン</a>&nbsp;&nbsp;<a class="btn btn-success" href="https://vapingcommunity.co.uk/signup" role="button">登録</a></p>
    </div>
</div>

$sso_secret = 'ITSASECRET';
$discourse_url = 'https://vapingcommunity.co.uk';

$nonce = hash('sha512', mt_rand());
$_SESSION['nonce'] = $nonce;

$payload =  base64_encode( http_build_query( array (
    'nonce' => $nonce,
    'return_sso_url' => $me
    )
) );

$request = array(
    'sso' => $payload,
    'sig' => hash_hmac('sha256', $payload, $sso_secret )
    );

$query = http_build_query($request);


if(!empty($_GET) and isset($_GET['sso'])){
    $sso_secret = 'ITSASECRET';
    if(isset($_SESSION['loggedin']) && isset($_SESSION['username']) && $_SESSION['loggedin'] == true){
        header("location: /");
        die();
    }
    
    $sso = $_GET['sso'];
    $sig = $_GET['sig'];

    if(hash_hmac('sha256', urldecode($sso), $sso_secret) !== $sig){
        header("HTTP/1.1 404 Not Found");
        die();
    }

マイコントローラー内

$sso = urldecode($sso);
$query = array();
parse_str(base64_decode($sso), $query);

$username = $query['username'];
$useremail = $query['email'];
if(!empty($query['avatar_url'])) {
    $avatar_url = $query['avatar_url'];
}
else {
    $avatar_url = $miscf->fullURL().'/images/defaultAvatar.png';
}
$userisadmin = $query['admin'];
$userismoderator = $query['moderator'];
$usergroup = $query['groups'];
$externalid = $query['external_id'];
if ($userf->checkUserEIDExists($externalid) == false) {
    $userf->addUser($username,$useremail,$avatar_url,$userisadmin,$userismoderator,$usergroup,$externalid);
}

$nonce = $_SESSION['nonce'];
if($query['nonce'] != $nonce){
    header("HTTP/1.1 404 Not Found");
    die();
}

$userf->loginUser($query['username'],$query['external_id'],$avatar_url,$query['groups']);

ログイン関数:

*クッキーを設定し、ユーザーチェックなどのその他の雑多な処理を行います*

*これで終了します*
if(isset($_SESSION['url'])) 
       $url = $_SESSION['url']; 
    else 
       $url = ""; 
    $miscf = new miscf();
    $fullurl = $miscf->fullURL().$url;
    header("Location:".$fullurl); 
    unset($_SESSION['url']);
    die();

トピック		返信	表示
Watch out for double url encoding of SSO payload SSO	0	1538	2019 年 7 月 28 日
Sso login error when return_sso_url is blank Bug	3	1329	2016 年 8 月 15 日
SSO Stopped working 🤔 SSO	2	740	2021 年 3 月 22 日
SSO incorrect nonce SSO	4	1413	2023 年 4 月 26 日
Implementing SSO, nonce immediately expires Support	3	2076	2024 年 6 月 8 日

Firefoxの最新版でSSO URLに問題が発生

関連トピック