SSOのみのログインでアカウントを自己削除すると、`logout redirect`ではなく認証URLにリダイレクトされループが発生します

Santo · 2023 年 7 月 3 日午後 9:48

コンテキスト: ローカルログインが無効、匿名アクセスが無効、および Basic OAuth プラグイン経由で OAuth2 プロバイダーが追加されている場合、ユーザーがログアウトをクリックすると logout redirect URL が尊重されます。

バグ: ただし、ユーザーがアカウントの自己削除を試みると、logout redirect URL にリダイレクトされず、フォーラムの基本 URL に戻されます。これは、匿名表示が無効になっているため、プロンプトなしで SSO 認証 URL にリダイレクトされます。
ユーザーは SSO プロバイダーにまだログインしているため、すぐにアカウントが再作成されます。

最も直接的な修正は、アカウントの自己削除後に logout redirect 設定を単純に順守することだと思います。
さらなる強化策として、自己削除したユーザーのリストを保持し、後で同じ詳細でアカウントが再作成された場合に、以前に削除されたアカウントを再作成しようとしていることを説明するプロンプトを表示し、それを回避できるようにすることが考えられます。管理者がそのような再作成されたアカウントのスタッフによる手動アクティベーションを要求するようにオプトインできるとさらに良いでしょう。

chrism · 2023 年 7 月 12 日午後 12:47

確認ですが、このプラグインでよろしいでしょうか？

chrism · 2023 年 7 月 12 日午後 1:18

また、Oauthについて再度調べているのですが、これをテストするにはローカルのOauth2プロバイダーを設定する必要があるということでしょうか？合っていますか？そして、何かおすすめはありますか？ @nat

nat · 2023 年 7 月 12 日午後 5:26

はい！

あなたが共有したプラグインのREADMEは、良い出発点になりそうです。

Santo · 2023 年 7 月 13 日午後 9:44

Chris様

はい、お話しいただいたプラグインをAuthentikをプロバイダーとして使用した場合、アカウント削除による再登録時のリダイレクトループを除き、すべて意図したとおりに機能しました。

よろしくお願いいたします。

chrism · 2023 年 7 月 14 日午後 3:14

これはマージされました。redirect to /login after account delete to prevent recreation of sso account by marstall · Pull Request #22575 · discourse/discourse · GitHub

トピック		返信	表示
SSO redirection using Microsoft Oauth2 plugin(without login button) SSO	6	2354	2018 年 12 月 27 日
Discourse-oauth2-basic plugin doesn't redirect on signup Bug	3	751	2018 年 9 月 12 日
About deactivated account Support	2	347	2023 年 12 月 13 日
Logout not working in Oauth setup Support	8	1819	2019 年 11 月 28 日
How to fully logout user session plus clear oauth data SSO oauth2	0	1001	2023 年 4 月 20 日

SSOのみのログインでアカウントを自己削除すると、`logout redirect`ではなく認証URLにリダイレクトされループが発生します

関連トピック