Дополнительная точка данных из логов доступа nginx:
Типичный сбой (2026-01-25 11:44:10 UTC) показывает, что запрос обратного вызова OIDC поступает от мобильного браузера внутри приложения iOS (Snapchat), а не от веб-вью приложения Discourse для iOS:
GET /auth/oidc/callback?...state=... 302
UA: Mozilla/5.0 (iPhone; CPU iPhone OS 18_7 like Mac OS X) ... Snapchat/13.76.1.0 (like Safari/..., panda)
Referer: https://login.microsoftonline.com/
Непосредственно за этим следует:
GET /auth/failure?message=csrf_detected&strategy=oidc
Похоже, что OAuth-поток иногда инициируется внутри мобильного браузера внутри приложения iOS (Snapchat или другого),
затем происходит передача (я также видел логи, содержащие auth_redirect=discourse://auth_redirect),
и куки сессии/состояние не сохраняются стабильно.
Текущая настройка: SiteSetting.same_site_cookies = "Lax".
Вопрос: ожидается ли, что поток аутентификации мобильного приложения Discourse будет надежным, когда вход инициируется из мобильных браузеров внутри приложений iOS, которые затем используют глубокие ссылки для перехода в приложение Discourse?
Является ли переключение same_site_cookies на значение “None” рекомендуемым решением в данном случае, или существует более подходящий подход?