OAuth2 الأساسي في Discourse

	ملخص	يدعم Discourse OAuth2 Basic مزودي OAuth2 الأساسيين، بافتراض وجود نقطة نهاية JSON حيث يمكن استرداد تفاصيل المستخدم بواسطة الرمز المميز.
	دليل التثبيت	هذه الإضافة مدمجة في نواة Discourse. لا حاجة لتثبيت الإضافة بشكل منفصل.

الميزات

تتيح لك هذه الإضافة استخدام مزود OAuth2 أساسي كمصدر للمصادقة في Discourse. يجب أن تعمل مع العديد من المزودين، مع التحذير من أنه يجب عليهم توفير نقطة نهاية JSON لاسترداد معلومات عن المستخدم الذي تقوم بتسجيل الدخول.

هذا مفيد بشكل أساسي للأشخاص الذين يستخدمون مزودي تسجيل دخول غير شائعين. إذا كنت ترغب في استخدام Google أو Facebook أو Twitter، فهي متضمنة بشكل افتراضي ولا تحتاج إلى هذه الإضافة. يمكنك أيضًا البحث عن مزودي تسجيل دخول آخرين في مستودع Github الخاص بنا.

التكوين

التكوين الأساسي

1. أولاً، قم بتسجيل تطبيق Discourse الخاص بك مع مزود OAuth2. سيتطلب URI إعادة التوجيه الذي سيكون:

    http://DISCOURSE_HOST/auth/oauth2_basic/callback

استبدل DISCOURSE_HOST بالقيمة المناسبة، وتأكد من استخدام https إذا كان مفعّلًا. يجب أن يزودك مزود OAuth2 بـ client ID و secret، بالإضافة إلى بضع عناوين URL.

2. انتقل إلى الإدارة → الإعدادات → تسجيل الدخول عبر OAuth2 وأدخل التكوين الأساسي لمزود OAuth2:

• oauth2_enabled - قم بتفعيل هذه الخانة لتمكين الميزة
• oauth2_client_id - معرف العميل من مزودك
• oauth2_client_secret - سر العميل من مزودك
• oauth2_authorize_url - عنوان URL للمصادقة الخاص بمزودك
• oauth2_token_url - عنوان URL للرمز المميز الخاص بمزودك.

إذا لم تتمكن من معرفة قيم الإعدادات المذكورة أعلاه، راجع وثائق المطور من مزودك أو اتصل بدعمهم الفني.

تكوين نقطة نهاية JSON للمستخدم

أصبح Discourse الآن قادرًا على استلام رمز مصادقة من مزود OAuth2 الخاص بك. للأسف، يتطلب Discourse معلومات إضافية لإكمال المصادقة.

نحتاج إلى نقطة نهاية API يمكن الاتصال بها لاسترداد معلومات حول المستخدم بناءً على الرمز المميز.

على سبيل المثال، يوفر مزود OAuth2 SoundCloud عنوان URL من هذا النوع. إذا كان لديك رمز مصادقة SoundCloud، يمكنك إجراء طلب GET إلى https://api.soundcloud.com/me?oauth_token=A_VALID_TOKEN وستحصل على كائن JSON يحتوي على معلومات عن المستخدم.

لتكوين ذلك في Discourse، نحتاج إلى تعيين قيمة إعداد oauth2_user_json_url. في هذه الحالة، سندخل القيمة التالية:

https://api.soundcloud.com/me?oauth_token=:token

الجزء الذي يحتوي على :token يخبر Discourse بأنه يحتاج إلى استبدال هذه القيمة بالرمز المميز للمصادقة الذي تلقاه عند اكتمال المصادقة.

هناك خطوة أخيرة واحدة لإكمالها. نحتاج إلى إخبار Discourse بالسمات المتاحة في JSON الذي استلمناه. إليك استجابة نموذجية من SoundCloud:

{
  "id": 3207,
  "permalink": "jwagener",
  "username": "Johannes Wagener",
  "uri": "https://api.soundcloud.com/users/3207",
  "permalink_url": "http://soundcloud.com/jwagener",
  "avatar_url": "http://i1.sndcdn.com/avatars-000001552142-pbw8yd-large.jpg?142a848",
  "country": "Germany",
  "full_name": "Johannes Wagener",
  "city": "Berlin"
}

يجب تعيين متغيرات oauth2_json_user_id_path، oauth2_json_username_path، oauth2_json_name_path، و oauth2_json_email_path لتشير إلى السمات المناسبة في JSON.

السمة الإلزامية الوحيدة هي id - نحتاجها حتى عندما يسجل المستخدم الدخول في المستقبل يمكننا استرجاع الحساب الصحيح. السمات الأخرى رائعة إذا كانت متوفرة — ستجعل عملية التسجيل أسرع للمستخدم حيث سيتم تعبئتها تلقائيًا في النموذج.

إليك كيف قمت بتكوين إعدادات مسار JSON:

  oauth2_json_user_id_path: 'id'
  oauth2_json_username_path: 'permalink'
  oauth2_json_name_path: 'full_name'

استخدمت permalink لأنه يبدو أكثر تشابهًا مع ما يتوقعه Discourse لاسم المستخدم مقارنة بالاسم المستخدم في JSON الخاص بهم. لاحظ أنني لم أذكر مسار البريد الإلكتروني: لا يوفر SoundCloud عنوان بريد إلكتروني، لذا سيحتاج المستخدم إلى تقديمه والتحقق منه عند التسجيل لأول مرة في Discourse.

إذا كانت الخصائص التي تريدها من كائن JSON الخاص بك متداخلة، يمكنك استخدام النقاط. على سبيل المثال، إذا كان API يعيد هيكلًا مختلفًا مثل هذا:

{
  "user": {
    "id": 1234,
    "email": {
      "address": "test@example.com"
    }
  }
}

يمكنك استخدام user.id لـ oauth2_json_user_id_path و user.email.address لـ oauth2_json_email_path.

إذا كانت المفتاح نفسه يتضمن نقاطًا، فستحتاج إلى وضع علامات اقتباس مزدوجة حوله، أو استخدام علامة تعويضية للنقاط بعلامة مائلة للخلف. على سبيل المثال، بالنظر إلى هذا JSON:

{
  "example.com/uid": "myuid"
}

ستحدد المسار كـ example\.com/uid أو "example.com/uid"

مزامنة المجموعة وحقل المستخدم

• oauth2_json_groups_path: مسار JSON الذي يحتوي على مجموعات المستخدم كمصفوفة من السلاسل النصية. بعد تسجيل دخول أول عضو، ستكون هذه المجموعات متاحة للاختيار في قسم «المجموعات المرتبطة» من إعدادات المجموعة في Discourse. اتركها فارغة لتعطيل مزامنة المجموعات.

• oauth2_user_field_mappings: خرائط لمسارات JSON سيتم تخزينها في حقول مستخدم Discourse. يتم تحديد حقول المستخدم بمعرفها الرقمي، الذي يمكن العثور عليه في عنوان URL عند تحريرها عبر لوحة الإدارة.

إذا قمت بتعيين oauth2_json_email_path، يجب أن يؤكد مزود OAuth2 أن المستخدم يملك عنوان البريد الإلكتروني هذا. الفشل في القيام بذلك قد يؤدي إلى الاستيلاء على الحساب في Discourse!

مستضاف لدينا؟ هذه الإضافة متاحة في خططنا للأعمال والشركات. OAuth 2.0 & OpenID Connect Support | Discourse - Civilized Discussion

هل تحتاج إلى أتمتة تسجيلات دخول المستخدمين؟ راجع Auto-provisioning user accounts when SSO is enabled

مرحباً،
نحن نحاول دمج Discourse مع تطبيقنا باستخدام OAuth2 Basic ولكننا نواجه الخطأ التالي في السجلات:
ملاحظة: نحن نستخدم NGROK لأننا نقوم بتصحيح الاتصال.

OAuth2 Debugging: request POST https://formshare.ngrok.io/oauth2/token

Headers: {"User-Agent"=>"Faraday v1.9.3", "Content-Type"=>"application/x-www-form-urlencoded", "Authorization"=>"Basic S2k2SFZtTVpuSTFHUExiRXVlWVJDNENiOkNvb1k0anlQemt3dWNRV21Sa2FWOVNnbHZLbjJFT3cxc3BIMmtMck9yY21vNDM4Tg=="}

Body: {"client_id"=>"Ki6HVmMZnI1GPLbEueYRC4Cb", "client_secret"=>"...some_secret_...", "grant_type"=>"authorization_code", "code"=>"5pPCrsp0pZ84373MNaHh2cuskfc8AlbfmdwMBFIVW4n4z9aX", :redirect_uri=>"https://community.formshare.org/auth/oauth2_basic/callback"}

------------------

OAuth2 Debugging: response status 200

From POST https://formshare.ngrok.io/oauth2/token

Headers: {"content-length"=>"108", "content-type"=>"text/html; charset=UTF-8", "date"=>"Thu, 01 Sep 2022 21:42:08 GMT", "ngrok-trace-id"=>"79cdc3f1c3eae5e37a30796aebbf9bd6", "server"=>"gunicorn"}

Body: {"token_type": "Bearer", "access_token": "p0FVuwjSXL1ZINEklMAVqUlpZxSll1SgnbpE8YWP4C", "expires_in": 864000}

-----------------------------------

(oauth2_basic) Authentication failure! invalid_credentials: OAuth2::Error, {"token_type": "Bearer", "access_token": "p0FVuwjSXL1ZINEklMAVqUlpZxSll1SgnbpE8YWP4C", "expires_in": 864000}

لقد تركنا المعلمات “oauth2 callback user id path” و “oauth2 callback user info paths” فارغة.

أي فكرة ستكون موضع تقدير.

هل يمكنني استخدام هذا للمصادقة مع خدمة XBL من Microsoft؟

أفترض أن المنطق سيكون مشابهًا لهذا؟

مرحباً بالجميع. أحاول تكوين هذه الإضافة باستخدام خادم Oauth2 الداخلي الخاص بنا مع تدفق رمز التفويض.

عندما ينقر المستخدم على “الاتصال باستخدام Oauth”، يعمل نقطة النهاية /authorize ويتم إرجاع رمز إلى الاستدعاء. ولكن بعد ذلك، يعرض Discourse خطأ عام 500 “عفوًا. واجه البرنامج الذي يدعم منتدى المناقشة هذا مشكلة غير متوقعة” ولا يتم الوصول إلى نقطة النهاية /token.

يقول سجل الأخطاء ذلك:
OAuth2::ConnectionError (FinalDestination: all resolved IPs were disallowed) lib/final_destination/ssrf_detector.rb:74:in lookup_and_filter_ips' lib/final_destination/http.rb:13:in connect’ lib/midd

على حد فهمي، هناك مشكلة في بعض عناوين IP؟ حاليًا، يتم استضافة خادم Oauth2 في بيئة التطوير الخاصة بي (localhost) وتم تكوين نقاط النهاية للتفويض والرمز وفقًا لذلك. هل هذه مشكلة؟

تم العثور على المشكلة:

1. لسبب ما، لم يتم استدعاء نقطة النهاية /token أبدًا. بعد ملء الحد الأقصى من الخيارات في معلمات المسؤول المتعلقة بـ oauth، تم استدعاء نقطة النهاية دون إجابة
2. نسيت أن خادم Discourse هو الذي سيستدعي نقطة النهاية /token وليس عميل الويب. لذلك، لم يتمكن الخادم من الوصول إلى خادم Oauth2 المحلي الخاص بي. وضع خادم Oauth2 الخاص بنا خلف نطاق حل المشكلة

الآن، يمكنني تسجيل دخول المستخدمين الحاليين ولكن لا أفهم كيفية تسجيل دخول مستخدمين جدد من خلال هذا المكون الإضافي.
إذا قام المستخدم بتسجيل الدخول باستخدام oauth، فإنه يحصل على خطأ يفيد بأنه ليس لديه حساب نشط على خادم Discourse. وهو أمر طبيعي نظرًا لأنه مستخدم جديد.

هل هناك رد اتصال مخصص لتسجيل دخول المستخدم بدلاً من تسجيل الدخول؟ أو معلمة محددة لتعيينها للسماح بإنشاء الحساب؟

كان خادم OAuth الخاص بشركتي يُنشئ استجابة JSON لـ /profile مع خطأ إملائي صغير في أحد الحقول. كان كل شيء على ما يرام بعد إصلاح الخطأ الإملائي.
ولكن يجب أن أقول أن سجلات Discourse يمكن أن تكون مضللة للغاية! لم يكن هناك خطأ في رد الاتصال.

مرحباً بالفريق،

أواجه مشكلة في استخلاص المعرف (ID) الذي أحتاجه لطلب JSON الخاص بالمستخدم من استجابة التفويض. عند قراءة الوثائق، يبدو أن معرف الحساب يتم إرساله في مصفوفة متداخلة:

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
   "access_token":"2YotnFZFEjr1zCsicMWpAA",
   "token_type":"Bearer",
   "expires_in":1800,
   "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
   "permissions":[
      {
        "accountId":123,
        "availableScopes":["contacts_view", "contacts_me",
"contacts_edit", "finances_view", "events_view"]
      }
   ]
}

لقد حاولت تعيين مسار معرف المستخدم في رد OAuth2 إلى permissions[0].accountId ولكن قيمة معرف المستخدم الخاصة بي تكون دائماً فارغة. للأسف، تتطلب المكالمات لاستخلاص JSON الخاص بالمستخدم معرف الحساب هذا في عنوان URL الخاص بـ JSON.

تمكنت من جعل هذا يعمل عن طريق تمرير permissions.first.accountId، ووجدت أنه عند تمرير permissions إلى خاصية اختبار، تم تحليل المصفوفة بالفعل كمصفوفة Ruby. للأسف، تبدو الحقول رافضة لبناء جمل Ruby لاستدعاء عناصر المصفوفة وأي محاولة لاستخدام بناء جمل Javascript ستؤدي إلى خطأ TypeError String to Integer. لحسن الحظ، كان لدى Ruby بناء الجملة أعلاه، هل هذه هي الطريقة المقصودة؟

لقد نجحت للتو في تشغيل هذا باستخدام Authentik OAuth2، ومع ذلك كانت هناك بعض المشاكل مع إعداد oauth2 user json url. لقد استخدمت نقطة نهاية user_info الخاصة بـ Authentik لذلك (/application/o/userinfo/)، ومع ذلك لم أكن أعرف كيفية تعيين الحقول. بالنسبة لأي شخص يبحث عن كيفية إعداد Discourse باستخدام OAuth2 الخاص بـ Authentik، إليك الملخص:

• مسار معرف المستخدم: preferred_username
• مسار اسم المستخدم: preferred_username
• مسار الاسم: name
• مسار البريد الإلكتروني: email
• مسار البريد الإلكتروني الذي تم التحقق منه: email_verified
• الصورة الرمزية: فارغة.

كانت لدي المشاكل التالية:

1. في البداية، نسيت الشرطة المائلة اللاحقة في عنوان URL الخاص بـ JSON https://DOMAIN/application/o/userinfo/. أدى هذا إلى أن طلب معلومات المستخدم (رابط دائم للمصدر) أعاد رمز HTTP 301، مما تسبب في فشل تسجيل الدخول. لا أعرف ما إذا كان يجب أن تكون الشرطة المائلة اللاحقة موجودة حسب المواصفات، ولكن ربما سيكون من الجيد التعامل مع 301 بشكل صحيح.
2. كان تصحيح هذا صعبًا. كان إعداد oauth2 debug auth بمثابة المنقذ ولكن… يقوم Logster باقتطاع سجل التصحيح قبل تفريغ بيانات الاستجابة ذات المعنى فعليًا. اضطررت إلى تعديل سطر السجل يدويًا في الحاوية إلى

   log("user_json_response: #{user_json_response.status} #{user_json_response.headers} #{user_json_response.body}")
   

   ربما يمكن تحديث سطر السجل هذا؟ أعتقد أنه يمكن أن يساعد الآخرين في معرفة مسار سمات JSON.

لقد قمت للتو بإعداد Auth0 باستخدام المكون الإضافي ووجدت أن الصور الرمزية لم يتم التقاطها.

هذه هي الإعدادات ذات الصلة:

  DISCOURSE_OAUTH2_ENABLED: true
  DISCOURSE_OAUTH2_CLIENT_ID: '${DISCOURSE_OAUTH2_CLIENT_ID}'
  DISCOURSE_OAUTH2_CLIENT_SECRET: '${DISCOURSE_OAUTH2_CLIENT_SECRET}'
  DISCOURSE_OAUTH2_AUTHORIZE_URL: '${DISCOURSE_OAUTH2_ISSUER}/authorize?connection=xxx&login_options=yyy'
  DISCOURSE_OAUTH2_TOKEN_URL: '${DISCOURSE_OAUTH2_ISSUER}/oauth/token'
  DISCOURSE_OAUTH2_USER_JSON_URL: '${DISCOURSE_OAUTH2_ISSUER}/userinfo'
  DISCOURSE_OAUTH2_SCOPE: 'email openid profile'
  DISCOURSE_OAUTH2_JSON_USER_ID_PATH: 'sub'
  DISCOURSE_OAUTH2_JSON_USERNAME_PATH: 'nickname'
  DISCOURSE_OAUTH2_JSON_NAME_PATH: 'name'
  DISCOURSE_OAUTH2_JSON_EMAIL_PATH: 'email'
  DISCOURSE_OAUTH2_JSON_EMAIL_VERIFIED_PATH: 'email_verified'
  DISCOURSE_OAUTH2_JSON_AVATAR_PATH: 'picture'
  DISCOURSE_OAUTH2_EMAIL_VERIFIED: true
  DISCOURSE_OAUTH2_OVERRIDES_EMAIL: true
  DISCOURSE_OAUTH2_ALLOW_ASSOCIATION_CHANGE: false

في سجل التصحيح، يمكنني رؤية أن عنصر picture تم تعيينه في استجابة JSON، ولكن صورة المستخدم الرمزية لا تتغير، لا للمستخدمين الجدد ولا للمستخدمين الحاليين.

ما الذي فاتني؟

ما هي أفضل طريقة لاستبدال الأيقونة الموجودة على زر تسجيل الدخول بأيقونة أخرى أو صورة؟

.btn-social.oauth2_basic:before {
    content: url('https://www.contoso.com/path/to/image');
}

.btn-social.oauth2_basic > svg {
    display: none;
}

يبدو هذا كافيًا ولكنه غير احترافي بعض الشيء.

يبدو أن المكون الإضافي يقوم بتحديث الصورة الرمزية/اسم المستخدم عند إنشاء المستخدم الأولي فقط، وليس في كل مرة يقوم فيها بتسجيل الدخول.\n\nهل هناك أي طريقة لإصلاح هذا وجعل المكون الإضافي يقوم بتحديث الصورة الرمزية أيضًا عند تسجيل الدخول/إعادة الاتصال؟

يمكنك استخدام إعدادات auth overrides email و auth overrides username و auth overrides name لتطبيق هذه الأشياء على عمليات تسجيل الدخول المستقبلية. أخشى أنه ليس لدينا حاليًا إعداد مماثل للصورة الرمزية، ولكن سيكون pr-welcome

شكراً لك! لقد وجدتها لاحقًا. لقد قمت بعمل نسخة من المستودع وأضفت إصداراتي الخاصة لجعله يعمل مع Roblox، والتي تضمنت التجاوز للصور الرمزية. أعتقد أن هذا يستخدم فقط تجاوز الصور الرمزية لـ DiscourseConnect حتى لا يتمكن الأشخاص من تغييرها.

شيء واحد أتمنى لو أن Roblox لا يوفر بريدًا إلكترونيًا على OAuth، لذا أحتاج للأسف إلى جعلهم يسجلون ببريد إلكتروني. لكن هذه ليست مشكلة بالنسبة لكم يا رفاق.

تم تقسيم منشور إلى موضوع جديد: تسجيل الدخول إلى تويتر لا يعمل على ميتا

هل يعرف أحد ما إذا كان هذا لا يزال يعمل؟

نعم. أنا واثق من أن هذه الإضافة تعمل.

مرحباً، لقد تمكنت من دمج هذه الإضافة في موقع discourse الخاص بي discuss.frontendlead.com، أنا أستخدم Teachable OAuth https://docs.teachable.com/docs/oauth-quickstart-guide

ومع ذلك، أريد فقط السماح للأشخاص بالتسجيل بنجاح إذا وفقط إذا كان لديهم حساب مدفوع حالي على Teachable. أتخيل أنني بحاجة إلى إضافة وظائف مخصصة في الإضافة للتعامل مع هذا؟ أتساءل، هل يمكنكم أو حتى أنا، إضافة حقل آخر في الإعدادات يسمى “الكود المخصص بعد OAuth”، والذي يسمح للمطورين بتنفيذ إجراءات محددة بعد التسجيل؟ أو إذا كانت هناك اقتراحات أفضل، فيرجى إخباري.

تعديل: لقد قمت بعمل نسخة من المستودع وتمكنت من تشغيله هنا:

إذا كان شخص آخر يستخدم Teachable يحاول فعل الشيء نفسه، فإن المستودع الخاص بي سيعمل مباشرة، الشيء الوحيد هو إذا لم تشترِ دورة تدريبية، فسيقول إنك بحاجة إلى الذهاب إلى مجالي للشراء. قد ترغب في تحديث ذلك لحالة الاستخدام الخاصة بك.

هذا رائع!

هناك موقف مشابه مع تسجيل OAuth2 مع إضافة Discourse Patreon. عندما يتم تمكين “تسجيل الدخول باستخدام Patreon”، فإنه يسمح لأي شخص لديه حساب Patreon بالتسجيل في موقع Discourse. ما يريده أصحاب المواقع بشكل عام هو السماح فقط لمؤيديهم بتسجيل حسابات Discourse. أتساءل عما إذا كانت التفاصيل تُرجع من Patreon للسماح بإضافة منطق مماثل إلى مصادقة Patreon؟

لدي نفس الخطأ تمامًا مثل @qlands أعلاه.

كانت خطتي الأولية هي إرسال معلومات الملف الشخصي في الرمز المميز. عندما رأيت أنه لم ينجح، قمت بتقليصه إلى محاولة نهج JSON. لكنه لا يصل حتى إلى نقطة استدعاء ملف JSON.

رسالة الخطأ هي:

(oauth2_basic) فشل المصادقة! invalid_credentials: OAuth2::Error, {
  "access_token":"fa79b6fe0763862f5a8fd8",
  "token_type":"Bearer",
  "expires_in":3600,
  "scope":"profile"
}

هل ترى أي شيء خاطئ في الرد أعلاه؟
لماذا يقوم المكون الإضافي بإنشاء خطأ invalid_credentials بينما رد خادم OAuth2 برمز 200 مع رمز مميز؟