Ponto de dados extra dos logs de acesso do nginx:
Uma falha representativa (2026-01-25 11:44:10 UTC) mostra que a solicitação de retorno de chamada OIDC está vindo de um UA de navegador in-app do iOS (Snapchat), e não do UA do webview do aplicativo Discourse para iOS:
GET /auth/oidc/callback?...state=... 302
UA: Mozilla/5.0 (iPhone; CPU iPhone OS 18_7 like Mac OS X) ... Snapchat/13.76.1.0 (like Safari/..., panda)
Referer: https://login.microsoftonline.com/
Imediatamente seguido por:
GET /auth/failure?message=csrf_detected&strategy=oidc
Portanto, parece que o fluxo OAuth é iniciado às vezes dentro de um navegador in-app do iOS (Snapchat/outro),
então a transferência ocorre (também vi logs contendo auth_redirect=discourse://auth_redirect),
e o cookie de sessão/estado não sobrevive de forma consistente.
Configuração atual: SiteSetting.same_site_cookies = "Lax".
Pergunta: o fluxo de autenticação do aplicativo móvel do Discourse deve ser confiável quando o login é iniciado a partir de navegadores in-app do iOS que, em seguida, fazem deep-link para o aplicativo Discourse?
Mudar same_site_cookies para “None” seria a mitigação recomendada aqui, ou existe uma abordagem melhor?