أساسيات OAuth2 في Discourse

	ملخص	يدعم Discourse OAuth2 Basic مزوِّدي OAuth2 الأساسيين، بافتراض توفر نقطة نهاية JSON لاسترداد تفاصيل المستخدم عبر الرمز المميز.
	دليل التثبيت	هذه الإضافة مُضمنة في نواة Discourse. لا حاجة لتثبيتها بشكل منفصل.

الميزات

تسمح لك هذه الإضافة باستخدام مزوِّد OAuth2 أساسي للمصادقة في Discourse. يجب أن تعمل مع العديد من المزوِّدين، بشرط أن توفر نقطة نهاية JSON لاسترداد معلومات عن المستخدم الذي يسجل الدخول.

هذا مفيد بشكل رئيسي للأشخاص الذين يستخدمون مزوِّدي تسجيل دخول غير شائعين. إذا كنت ترغب في استخدام Google أو Facebook أو Twitter، فهي متاحة افتراضيًا ولا تحتاج إلى هذه الإضافة. يمكنك أيضًا البحث عن مزوِّدي تسجيل دخول آخرين في مستودعنا على GitHub.

الإعداد

الإعداد الأساسي

1. أولاً، سجِّل تطبيق Discourse الخاص بك لدى مزوِّد OAuth2. سيطلب منك URI إعادة التوجيه الذي سيكون:

    http://DISCOURSE_HOST/auth/oauth2_basic/callback

استبدل DISCOURSE_HOST بالقيمة المناسبة، وتأكد من استخدام https إذا كان مفعّلًا. يجب أن يزوِّدك مزوِّد OAuth2 بـ client ID و secret، بالإضافة إلى رابطين أو أكثر.

2. انتقل إلى الإدارة → الإعدادات → تسجيل الدخول عبر OAuth2 وأدخل الإعدادات الأساسية لمزوِّد OAuth2:

• oauth2_enabled - فعّل هذه الميزة
• oauth2_client_id - معرف العميل من مزوِّدك
• oauth2_client_secret - سر العميل من مزوِّدك
• oauth2_authorize_url - رابط التفويض الخاص بمزوِّدك
• oauth2_token_url - رابط الرمز المميز الخاص بمزوِّدك.

إذا لم تتمكن من تحديد القيم للإعدادات أعلاه، فراجع وثائق المطورين من مزوِّدك أو اتصل بدعمهم الفني.

إعداد نقطة نهاية مستخدم JSON

أصبح Discourse الآن قادرًا على استلام رمز تفويض من مزوِّد OAuth2 الخاص بك. للأسف، يحتاج Discourse إلى معلومات إضافية لإكمال المصادقة.

نحتاج إلى نقطة نهاية API يمكن الاتصال بها لاسترداد معلومات عن المستخدم بناءً على الرمز المميز.

على سبيل المثال، يوفر مزوِّد OAuth2 SoundCloud رابطًا كهذا. إذا كان لديك رمز OAuth2 صالح لـ SoundCloud، فيمكنك إرسال طلب GET إلى https://api.soundcloud.com/me?oauth_token=A_VALID_TOKEN وستحصل على كائن JSON يحتوي على معلومات عن المستخدم.

لإعداد هذا في Discourse، نحتاج إلى تعيين قيمة إعداد oauth2_user_json_url. في هذه الحالة، سندخل القيمة التالية:

https://api.soundcloud.com/me?oauth_token=:token

الجزء الذي يحتوي على :token يخبر Discourse بأنه يجب عليه استبدال هذه القيمة بالرمز المميز للتفويض الذي استلمه عند اكتمال المصادقة.

هناك خطوة أخيرة واحدة لإكمالها. يجب أن نخبر Discourse بالسمات المتاحة في JSON الذي استلمناه. إليك مثال على استجابة من SoundCloud:

{
  "id": 3207,
  "permalink": "jwagener",
  "username": "Johannes Wagener",
  "uri": "https://api.soundcloud.com/users/3207",
  "permalink_url": "http://soundcloud.com/jwagener",
  "avatar_url": "http://i1.sndcdn.com/avatars-000001552142-pbw8yd-large.jpg?142a848",
  "country": "Germany",
  "full_name": "Johannes Wagener",
  "city": "Berlin"
}

يجب تعيين المتغيرات oauth2_json_user_id_path، وoauth2_json_username_path، وoauth2_json_name_path، وoauth2_json_email_path لتشير إلى السمات المناسبة في JSON.

السمة الإلزامية الوحيدة هي id — نحتاجها حتى نتمكن من استرجاع الحساب الصحيح عندما يسجل المستخدم الدخول في المستقبل. السمات الأخرى مفيدة إذا كانت متاحة — فهي ستجعل عملية التسجيل أسرع للمستخدم لأنها ستُملأ تلقائيًا في النموذج.

إليك كيف قمتُ بإعداد إعدادات مسار JSON:

  oauth2_json_user_id_path: 'id'
  oauth2_json_username_path: 'permalink'
  oauth2_json_name_path: 'full_name'

استخدمتُ permalink لأنه يبدو أقرب إلى ما يتوقعه Discourse لاسم المستخدم مقارنةً بـ username في JSON الخاص بهم. لاحظ أنني لم أذكر مسار البريد الإلكتروني: فـ SoundCloud لا توفر البريد الإلكتروني، لذا سيضطر المستخدم إلى تقديمه والتحقق منه عند التسجيل لأول مرة في Discourse.

إذا كانت الخصائص التي تريدها من كائن JSON متداخلة، فيمكنك استخدام النقاط. على سبيل المثال، إذا كان API يعيد بنية مختلفة مثل هذا:

{
  "user": {
    "id": 1234,
    "email": {
      "address": "test@example.com"
    }
  }
}

يمكنك استخدام user.id لـ oauth2_json_user_id_path وuser.email.address لـ oauth2_json_email_path.

إذا كانت المفتاح نفسه يحتوي على نقاط، فستحتاج إلى وضع علامات اقتباس مزدوجة حوله، أو الهروب من النقاط باستخدام شرطة مائلة للخلف. على سبيل المثال، بالنظر إلى هذا JSON:

{
  "example.com/uid": "myuid"
}

ستحدد المسار كـ example\.com/uid أو "example.com/uid"

إذا قمت بتعيين oauth2_json_email_path، فيجب على مزوِّد OAuth2 تأكيد أن المستخدم يملك عنوان البريد الإلكتروني هذا. الفشل في القيام بذلك قد يؤدي إلى الاستيلاء على الحساب في Discourse!

مُستضاف لدينا؟ هذه الإضافة متاحة في خططنا للأعمال والشركات. OAuth 2.0 & OpenID Connect Support | Discourse - Civilized Discussion

هل تحتاج إلى أتمتة تسجيلات المستخدمين؟ راجع Auto-provisioning user accounts when SSO is enabled

مرحباً،
نحن نحاول دمج Discourse مع تطبيقنا باستخدام OAuth2 Basic ولكننا نواجه الخطأ التالي في السجلات:
ملاحظة: نحن نستخدم NGROK لأننا نقوم بتصحيح الاتصال.

OAuth2 Debugging: request POST https://formshare.ngrok.io/oauth2/token

Headers: {"User-Agent"=>"Faraday v1.9.3", "Content-Type"=>"application/x-www-form-urlencoded", "Authorization"=>"Basic S2k2SFZtTVpuSTFHUExiRXVlWVJDNENiOkNvb1k0anlQemt3dWNRV21Sa2FWOVNnbHZLbjJFT3cxc3BIMmtMck9yY21vNDM4Tg=="}

Body: {"client_id"=>"Ki6HVmMZnI1GPLbEueYRC4Cb", "client_secret"=>"...some_secret_...", "grant_type"=>"authorization_code", "code"=>"5pPCrsp0pZ84373MNaHh2cuskfc8AlbfmdwMBFIVW4n4z9aX", :redirect_uri=>"https://community.formshare.org/auth/oauth2_basic/callback"}

------------------

OAuth2 Debugging: response status 200

From POST https://formshare.ngrok.io/oauth2/token

Headers: {"content-length"=>"108", "content-type"=>"text/html; charset=UTF-8", "date"=>"Thu, 01 Sep 2022 21:42:08 GMT", "ngrok-trace-id"=>"79cdc3f1c3eae5e37a30796aebbf9bd6", "server"=>"gunicorn"}

Body: {"token_type": "Bearer", "access_token": "p0FVuwjSXL1ZINEklMAVqUlpZxSll1SgnbpE8YWP4C", "expires_in": 864000}

-----------------------------------

(oauth2_basic) Authentication failure! invalid_credentials: OAuth2::Error, {"token_type": "Bearer", "access_token": "p0FVuwjSXL1ZINEklMAVqUlpZxSll1SgnbpE8YWP4C", "expires_in": 864000}

لقد تركنا المعلمات “oauth2 callback user id path” و “oauth2 callback user info paths” فارغة.

أي فكرة ستكون موضع تقدير.

هل يمكنني استخدام هذا للمصادقة مع خدمة XBL من Microsoft؟

أفترض أن المنطق سيكون مشابهًا لهذا؟

مرحباً بالجميع. أحاول تكوين هذه الإضافة باستخدام خادم Oauth2 الداخلي الخاص بنا مع تدفق رمز التفويض.

عندما ينقر المستخدم على “الاتصال باستخدام Oauth”، يعمل نقطة النهاية /authorize ويتم إرجاع رمز إلى الاستدعاء. ولكن بعد ذلك، يعرض Discourse خطأ عام 500 “عفوًا. واجه البرنامج الذي يدعم منتدى المناقشة هذا مشكلة غير متوقعة” ولا يتم الوصول إلى نقطة النهاية /token.

يقول سجل الأخطاء ذلك:
OAuth2::ConnectionError (FinalDestination: all resolved IPs were disallowed) lib/final_destination/ssrf_detector.rb:74:in lookup_and_filter_ips' lib/final_destination/http.rb:13:in connect’ lib/midd

على حد فهمي، هناك مشكلة في بعض عناوين IP؟ حاليًا، يتم استضافة خادم Oauth2 في بيئة التطوير الخاصة بي (localhost) وتم تكوين نقاط النهاية للتفويض والرمز وفقًا لذلك. هل هذه مشكلة؟

تم العثور على المشكلة:

1. لسبب ما، لم يتم استدعاء نقطة النهاية /token أبدًا. بعد ملء الحد الأقصى من الخيارات في معلمات المسؤول المتعلقة بـ oauth، تم استدعاء نقطة النهاية دون إجابة
2. نسيت أن خادم Discourse هو الذي سيستدعي نقطة النهاية /token وليس عميل الويب. لذلك، لم يتمكن الخادم من الوصول إلى خادم Oauth2 المحلي الخاص بي. وضع خادم Oauth2 الخاص بنا خلف نطاق حل المشكلة

الآن، يمكنني تسجيل دخول المستخدمين الحاليين ولكن لا أفهم كيفية تسجيل دخول مستخدمين جدد من خلال هذا المكون الإضافي.
إذا قام المستخدم بتسجيل الدخول باستخدام oauth، فإنه يحصل على خطأ يفيد بأنه ليس لديه حساب نشط على خادم Discourse. وهو أمر طبيعي نظرًا لأنه مستخدم جديد.

هل هناك رد اتصال مخصص لتسجيل دخول المستخدم بدلاً من تسجيل الدخول؟ أو معلمة محددة لتعيينها للسماح بإنشاء الحساب؟

كان خادم OAuth الخاص بشركتي يُنشئ استجابة JSON لـ /profile مع خطأ إملائي صغير في أحد الحقول. كان كل شيء على ما يرام بعد إصلاح الخطأ الإملائي.
ولكن يجب أن أقول أن سجلات Discourse يمكن أن تكون مضللة للغاية! لم يكن هناك خطأ في رد الاتصال.

مرحباً بالفريق،

أواجه مشكلة في استخلاص المعرف (ID) الذي أحتاجه لطلب JSON الخاص بالمستخدم من استجابة التفويض. عند قراءة الوثائق، يبدو أن معرف الحساب يتم إرساله في مصفوفة متداخلة:

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
   "access_token":"2YotnFZFEjr1zCsicMWpAA",
   "token_type":"Bearer",
   "expires_in":1800,
   "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
   "permissions":[
      {
        "accountId":123,
        "availableScopes":["contacts_view", "contacts_me",
"contacts_edit", "finances_view", "events_view"]
      }
   ]
}

لقد حاولت تعيين مسار معرف المستخدم في رد OAuth2 إلى permissions[0].accountId ولكن قيمة معرف المستخدم الخاصة بي تكون دائماً فارغة. للأسف، تتطلب المكالمات لاستخلاص JSON الخاص بالمستخدم معرف الحساب هذا في عنوان URL الخاص بـ JSON.

تمكنت من جعل هذا يعمل عن طريق تمرير permissions.first.accountId، ووجدت أنه عند تمرير permissions إلى خاصية اختبار، تم تحليل المصفوفة بالفعل كمصفوفة Ruby. للأسف، تبدو الحقول رافضة لبناء جمل Ruby لاستدعاء عناصر المصفوفة وأي محاولة لاستخدام بناء جمل Javascript ستؤدي إلى خطأ TypeError String to Integer. لحسن الحظ، كان لدى Ruby بناء الجملة أعلاه، هل هذه هي الطريقة المقصودة؟

لقد نجحت للتو في تشغيل هذا باستخدام Authentik OAuth2، ومع ذلك كانت هناك بعض المشاكل مع إعداد oauth2 user json url. لقد استخدمت نقطة نهاية user_info الخاصة بـ Authentik لذلك (/application/o/userinfo/)، ومع ذلك لم أكن أعرف كيفية تعيين الحقول. بالنسبة لأي شخص يبحث عن كيفية إعداد Discourse باستخدام OAuth2 الخاص بـ Authentik، إليك الملخص:

• مسار معرف المستخدم: preferred_username
• مسار اسم المستخدم: preferred_username
• مسار الاسم: name
• مسار البريد الإلكتروني: email
• مسار البريد الإلكتروني الذي تم التحقق منه: email_verified
• الصورة الرمزية: فارغة.

كانت لدي المشاكل التالية:

1. في البداية، نسيت الشرطة المائلة اللاحقة في عنوان URL الخاص بـ JSON https://DOMAIN/application/o/userinfo/. أدى هذا إلى أن طلب معلومات المستخدم (رابط دائم للمصدر) أعاد رمز HTTP 301، مما تسبب في فشل تسجيل الدخول. لا أعرف ما إذا كان يجب أن تكون الشرطة المائلة اللاحقة موجودة حسب المواصفات، ولكن ربما سيكون من الجيد التعامل مع 301 بشكل صحيح.
2. كان تصحيح هذا صعبًا. كان إعداد oauth2 debug auth بمثابة المنقذ ولكن… يقوم Logster باقتطاع سجل التصحيح قبل تفريغ بيانات الاستجابة ذات المعنى فعليًا. اضطررت إلى تعديل سطر السجل يدويًا في الحاوية إلى

   log("user_json_response: #{user_json_response.status} #{user_json_response.headers} #{user_json_response.body}")
   

   ربما يمكن تحديث سطر السجل هذا؟ أعتقد أنه يمكن أن يساعد الآخرين في معرفة مسار سمات JSON.

لقد قمت للتو بإعداد Auth0 باستخدام المكون الإضافي ووجدت أن الصور الرمزية لم يتم التقاطها.

هذه هي الإعدادات ذات الصلة:

  DISCOURSE_OAUTH2_ENABLED: true
  DISCOURSE_OAUTH2_CLIENT_ID: '${DISCOURSE_OAUTH2_CLIENT_ID}'
  DISCOURSE_OAUTH2_CLIENT_SECRET: '${DISCOURSE_OAUTH2_CLIENT_SECRET}'
  DISCOURSE_OAUTH2_AUTHORIZE_URL: '${DISCOURSE_OAUTH2_ISSUER}/authorize?connection=xxx&login_options=yyy'
  DISCOURSE_OAUTH2_TOKEN_URL: '${DISCOURSE_OAUTH2_ISSUER}/oauth/token'
  DISCOURSE_OAUTH2_USER_JSON_URL: '${DISCOURSE_OAUTH2_ISSUER}/userinfo'
  DISCOURSE_OAUTH2_SCOPE: 'email openid profile'
  DISCOURSE_OAUTH2_JSON_USER_ID_PATH: 'sub'
  DISCOURSE_OAUTH2_JSON_USERNAME_PATH: 'nickname'
  DISCOURSE_OAUTH2_JSON_NAME_PATH: 'name'
  DISCOURSE_OAUTH2_JSON_EMAIL_PATH: 'email'
  DISCOURSE_OAUTH2_JSON_EMAIL_VERIFIED_PATH: 'email_verified'
  DISCOURSE_OAUTH2_JSON_AVATAR_PATH: 'picture'
  DISCOURSE_OAUTH2_EMAIL_VERIFIED: true
  DISCOURSE_OAUTH2_OVERRIDES_EMAIL: true
  DISCOURSE_OAUTH2_ALLOW_ASSOCIATION_CHANGE: false

في سجل التصحيح، يمكنني رؤية أن عنصر picture تم تعيينه في استجابة JSON، ولكن صورة المستخدم الرمزية لا تتغير، لا للمستخدمين الجدد ولا للمستخدمين الحاليين.

ما الذي فاتني؟

ما هي أفضل طريقة لاستبدال الأيقونة الموجودة على زر تسجيل الدخول بأيقونة أخرى أو صورة؟

.btn-social.oauth2_basic:before {
    content: url('https://www.contoso.com/path/to/image');
}

.btn-social.oauth2_basic > svg {
    display: none;
}

يبدو هذا كافيًا ولكنه غير احترافي بعض الشيء.

يبدو أن المكون الإضافي يقوم بتحديث الصورة الرمزية/اسم المستخدم عند إنشاء المستخدم الأولي فقط، وليس في كل مرة يقوم فيها بتسجيل الدخول.\n\nهل هناك أي طريقة لإصلاح هذا وجعل المكون الإضافي يقوم بتحديث الصورة الرمزية أيضًا عند تسجيل الدخول/إعادة الاتصال؟

يمكنك استخدام إعدادات auth overrides email و auth overrides username و auth overrides name لتطبيق هذه الأشياء على عمليات تسجيل الدخول المستقبلية. أخشى أنه ليس لدينا حاليًا إعداد مماثل للصورة الرمزية، ولكن سيكون pr-welcome

شكراً لك! لقد وجدتها لاحقًا. لقد قمت بعمل نسخة من المستودع وأضفت إصداراتي الخاصة لجعله يعمل مع Roblox، والتي تضمنت التجاوز للصور الرمزية. أعتقد أن هذا يستخدم فقط تجاوز الصور الرمزية لـ DiscourseConnect حتى لا يتمكن الأشخاص من تغييرها.

شيء واحد أتمنى لو أن Roblox لا يوفر بريدًا إلكترونيًا على OAuth، لذا أحتاج للأسف إلى جعلهم يسجلون ببريد إلكتروني. لكن هذه ليست مشكلة بالنسبة لكم يا رفاق.

تم تقسيم منشور إلى موضوع جديد: تسجيل الدخول إلى تويتر لا يعمل على ميتا

هل يعرف أحد ما إذا كان هذا لا يزال يعمل؟

نعم. أنا واثق من أن هذه الإضافة تعمل.

مرحباً، لقد تمكنت من دمج هذه الإضافة في موقع discourse الخاص بي discuss.frontendlead.com، أنا أستخدم Teachable OAuth https://docs.teachable.com/docs/oauth-quickstart-guide

ومع ذلك، أريد فقط السماح للأشخاص بالتسجيل بنجاح إذا وفقط إذا كان لديهم حساب مدفوع حالي على Teachable. أتخيل أنني بحاجة إلى إضافة وظائف مخصصة في الإضافة للتعامل مع هذا؟ أتساءل، هل يمكنكم أو حتى أنا، إضافة حقل آخر في الإعدادات يسمى “الكود المخصص بعد OAuth”، والذي يسمح للمطورين بتنفيذ إجراءات محددة بعد التسجيل؟ أو إذا كانت هناك اقتراحات أفضل، فيرجى إخباري.

تعديل: لقد قمت بعمل نسخة من المستودع وتمكنت من تشغيله هنا:

إذا كان شخص آخر يستخدم Teachable يحاول فعل الشيء نفسه، فإن المستودع الخاص بي سيعمل مباشرة، الشيء الوحيد هو إذا لم تشترِ دورة تدريبية، فسيقول إنك بحاجة إلى الذهاب إلى مجالي للشراء. قد ترغب في تحديث ذلك لحالة الاستخدام الخاصة بك.

هذا رائع!

هناك موقف مشابه مع تسجيل OAuth2 مع إضافة Discourse Patreon. عندما يتم تمكين “تسجيل الدخول باستخدام Patreon”، فإنه يسمح لأي شخص لديه حساب Patreon بالتسجيل في موقع Discourse. ما يريده أصحاب المواقع بشكل عام هو السماح فقط لمؤيديهم بتسجيل حسابات Discourse. أتساءل عما إذا كانت التفاصيل تُرجع من Patreon للسماح بإضافة منطق مماثل إلى مصادقة Patreon؟

لدي نفس الخطأ تمامًا مثل @qlands أعلاه.

كانت خطتي الأولية هي إرسال معلومات الملف الشخصي في الرمز المميز. عندما رأيت أنه لم ينجح، قمت بتقليصه إلى محاولة نهج JSON. لكنه لا يصل حتى إلى نقطة استدعاء ملف JSON.

رسالة الخطأ هي:

(oauth2_basic) فشل المصادقة! invalid_credentials: OAuth2::Error, {
  "access_token":"fa79b6fe0763862f5a8fd8",
  "token_type":"Bearer",
  "expires_in":3600,
  "scope":"profile"
}

هل ترى أي شيء خاطئ في الرد أعلاه؟
لماذا يقوم المكون الإضافي بإنشاء خطأ invalid_credentials بينما رد خادم OAuth2 برمز 200 مع رمز مميز؟