نحتاج إلى مساعدة في إعداد SSO بدون رسائل بريد إلكتروني

الدعم تسجيل الدخول الموحد
1

موقعي (ويكي يعتمد على MediaWiki) يستخدم فقط اسم مستخدم وكلمة مرور (البريد الإلكتروني اختياري للمستخدمين عند التسجيل). لدي Discourse يعمل بنجاح، وقد تم تمكين SSO في إعدادات المسؤول. عند النقر على تسجيل الدخول في Discourse، يتم إعادة التوجيه إلى صفحة تسجيل الدخول في موقعي مع رمز nonce.

أنا أراجع إرشادات SSO الرسمية من Discourse، والتي تنص على:

:warning: يستخدم Discourse عناوين البريد الإلكتروني لربط المستخدمين الخارجيين بمستخدمي Discourse، ويفترض أن هذه العناوين آمنة. إذا لم تتحقق من صحة عناوين البريد الإلكتروني قبل إرسالها إلى Discourse، فسيكون موقعك عرضة لثغرات أمنية خطيرة جدًا!

لديّ بعض الأسئلة المتعلقة بـ SSO:

  1. للتوضيح فقط - بمجرد عمل SSO، هل يمكن لجميع المستخدمين المسجلين في موقعي الوصول إلى Discourse بحالة “تسجيل الدخول” دون الحاجة إلى التسجيل مسبقًا في Discourse؟
  2. أريد تعطيل جميع الميزات المتعلقة بالبريد الإلكتروني في Discourse (بما أننا لا نفرض استخدام البريد الإلكتروني في موقعنا). لذا، لا رسائل بريد إلكتروني من Discourse أو إليه (للردود وما إلى ذلك).
  3. إذا أنشأت عنوان بريد إلكتروني وهمي في كود SSO الخاص بموقعي (مثل unique_id@domain.xyz) لكل مستخدم وأرسلته في الحمولة (payload)، فهل سيكون ذلك مقبولاً؟
  4. كيف يمكنني جعل SSO يعمل في حالتي؟ هل هناك أي اقتراحات أو نصائح أخرى؟

شكرًا لك!

2

لا. تُعد عناوين البريد الإلكتروني الصالحة ضرورية لكي يعمل Discourse على المستوى الأساسي. قد ترغب في اختيار برنامج مفتوح المصدر مختلف إذا كنت تحتاج إلى دعم بدون بريد إلكتروني.

3

شكرًا لاستجابتك، جيف.

كنت أبحث في هذا الموضوع (عواقب عدم التحقق من عناوين البريد الإلكتروني) وفي تعليقاتك فيه؛ وأعتقد أن وضعي مشابه جدًا:

  1. نجحت في تفعيل SSO، وقمت بتعطيل التسجيلات المحلية/تسجيل الدخول على Discourse. وبالتالي، عند النقر على “تسجيل الدخول” في المنتديات، يتم إعادة توجيه المستخدمين إلى صفحة تسجيل الدخول في موقعي، وبعد التحقق، يتم إعادة توجيههم مرة أخرى إلى المنتديات (مع الحمولة - بما في ذلك عنوان بريد إلكتروني وهمي لكن فريد).
  2. كما قمت بتعطيل جميع رسائل البريد الإلكتروني من إعدادات مسؤول Discourse (وبالتالي لن يرسل Discourse أي رسائل بريد إلكتروني على الإطلاق).
  3. لم أقوم بتعيين require_activation إلى true.

إذا كانت جميع رسائل البريد الإلكتروني من Discourse معطلة، وأنا أستخدم SSO، فهل لا تزال عناوين البريد الإلكتروني الوهمية تشكل مشكلة؟ وهل يمكنك شرح سبب أهمية عناوين البريد الإلكتروني الصالحة وما الذي يحدث عند استخدام عناوين بريد إلكتروني وهمية فريدة؟

شكرًا لك!

4

إذا كان تسجيل الدخول الموحد (SSO) يعمل، فقد يكون ذلك مقبولاً… أعتقد أنك بحاجة إلى جعل عناوين البريد الإلكتروني الوهمية هذه تابعة لنطاق محدد لمنع أي محاولة للبريد، لكنني لا أتذكر التفاصيل. هل تتذكر @gerhard؟

5

يجب أن يكون تكوين إعداد الموقع disable_emails بشكل مناسب كافٍ، ولكن من الجيد استخدام امتداد النطاق .invalid في حال قمت بتفعيل البريد الصادر في وقت لاحق. على سبيل المثال، شيء مثل unique_id@something.invalid.