Zusätzlicher Datenpunkt aus den nginx-Zugriffsprotokollen:
Ein repräsentativer Fehler (2026-01-25 11:44:10 UTC) zeigt, dass die OIDC-Callback-Anfrage von einem iOS In-App-Browser UA (Snapchat) kommt und nicht vom Discourse iOS App Webview UA:
GET /auth/oidc/callback?...state=... 302
UA: Mozilla/5.0 (iPhone; CPU iPhone OS 18_7 like Mac OS X) ... Snapchat/13.76.1.0 (like Safari/..., panda)
Referer: https://login.microsoftonline.com/
Unmittelbar gefolgt von:
GET /auth/failure?message=csrf_detected&strategy=oidc
Es sieht also so aus, als ob der OAuth-Fluss manchmal innerhalb eines iOS In-App-Browsers (Snapchat/andere) initiiert wird,
dann der Übergang stattfindet (ich habe auch Protokolle mit auth_redirect=discourse://auth_redirect gesehen),
und der Sitzungscookie/Status nicht konsistent überlebt.
Aktuelle Einstellung: SiteSetting.same_site_cookies = "Lax".
Frage: Ist der mobile App-Authentifizierungsfluss von Discourse zuverlässig, wenn die Anmeldung von iOS In-App-Browsern initiiert wird, die dann einen Deep-Link zur Discourse-App herstellen?
Wäre das Wechseln von same_site_cookies auf „None“ die empfohlene Abhilfe, oder gibt es einen besseren Ansatz?