Dato aggiuntivo dai log di accesso di nginx:
Un errore rappresentativo (2026-01-25 11:44:10 UTC) mostra che la richiesta di callback OIDC proviene da un UA di browser in-app di iOS (Snapchat), non dall’UA della webview dell’app iOS di Discourse:
GET /auth/oidc/callback?...state=... 302
UA: Mozilla/5.0 (iPhone; CPU iPhone OS 18_7 like Mac OS X) ... Snapchat/13.76.1.0 (like Safari/..., panda)
Referer: https://login.microsoftonline.com/
Immediatamente seguito da:
GET /auth/failure?message=csrf_detected&strategy=oidc
Quindi sembra che il flusso OAuth venga talvolta avviato all’interno di un browser in-app di iOS (Snapchat/altro),
quindi si verifica il passaggio (ho anche visto log contenenti auth_redirect=discourse://auth_redirect),
e il cookie di sessione/stato non sopravvive in modo coerente.
Impostazione attuale: SiteSetting.same_site_cookies = "Lax".
Domanda: il flusso di autenticazione dell’app mobile di Discourse è previsto che sia affidabile quando l’accesso viene avviato da browser in-app di iOS che quindi reindirizzano all’app Discourse tramite deep-link?
La modifica di same_site_cookies a “None” sarebbe la mitigazione consigliata, o c’è un approccio migliore?