نقطة بيانات إضافية من سجلات وصول nginx:
تُظهر محاولة فشل تمثيلية (2026-01-25 11:44:10 بالتوقيت العالمي المنسق) أن طلب استدعاء OIDC يأتي من وكيل مستخدم (User Agent) متصفح داخل التطبيق لنظام iOS (Snapchat)، وليس وكيل مستخدم تطبيق Discourse لنظام iOS:
GET /auth/oidc/callback?...state=... 302
UA: Mozilla/5.0 (iPhone; CPU iPhone OS 18_7 like Mac OS X) ... Snapchat/13.76.1.0 (like Safari/..., panda)
Referer: https://login.microsoftonline.com/
يتبعه مباشرة:
GET /auth/failure?message=csrf_detected&strategy=oidc
لذا يبدو أن تدفق OAuth يبدأ أحيانًا داخل متصفح داخل تطبيق iOS (Snapchat/غيره)،
ثم يحدث الانتقال (لقد رأيت أيضًا سجلات تحتوي على auth_redirect=discourse://auth_redirect)،
ولا تبقى ملفات تعريف الارتباط الخاصة بالجلسة/الحالة محفوظة باستمرار.
الإعداد الحالي: SiteSetting.same_site_cookies = "Lax".
السؤال: هل من المتوقع أن يكون تدفق المصادقة لتطبيق Discourse للجوال موثوقًا به عندما تبدأ عملية تسجيل الدخول من متصفحات داخل تطبيقات iOS التي تقوم بعد ذلك بالربط العميق (deep-link) إلى تطبيق Discourse؟
هل سيكون تغيير same_site_cookies إلى “None” هو التخفيف الموصى به هنا، أم أن هناك نهجًا أفضل؟