SSO 和筛选的 IP 地址

mentalstring · 2020 年12 月 8 日 14:44

我们使用单点登录（SSO）进行登录和账户创建。在我们的论坛上，没有其他登录或注册方式。

然而，被屏蔽的 IP 地址列表中有数十个 IP 地址，这些地址每天都会自动添加。这是否符合预期？是什么导致一个 IP 地址被添加到“被屏蔽的 IP 地址”列表中？

codinghorror · 2020 年12 月 9 日 18:26

我能想到的唯一方法是在你删除账户时选择“删除垃圾信息发送者”按钮。

mentalstring · 2020 年12 月 9 日 18:47

好观点——正是当我们通过 API 移除账户时，IP 才会被添加到屏蔽 IP 列表中。

不过，我们发出 DELETE 请求时使用了 block_ip=false。以下是来自 Rails 日志的记录：

Parameters: {"delete_posts"=>"1", "block_email"=>"0", "blocked_urls"=>"0", "block_ip"=>"0", "id"=>"123"}

但 IP 仍然被屏蔽了，所以也许某个地方存在 bug？

mentalstring · 2021 年6 月 7 日 10:45

有可能，不过我觉得不是？我使用的是找到的唯一一个删除用户端点：

DELETE /admin/users/{id}.json

该端点确实有一个 block_ip 参数，默认值为 true，而我总是将其设置为 false。尽管如此，IP 地址仍然被添加到了筛选 IP 列表中。

codinghorror · 2021 年6 月 7 日 18:39

您可能想参考 https://meta.discourse.org/t/how-to-reverse-engineer-the-discourse-api/20576，查看在删除用户并点击标有 <kbd>仅删除</kbd> 的按钮时具体发送了哪些请求。

……因为我可以肯定地告诉您，如果您发现删除用户后 IP 地址被添加到屏蔽列表中，那么您绝对是将该用户作为垃圾邮件发送者进行删除的，例如点击中间那个按钮——删除并封禁。

mentalstring · 2021 年6 月 8 日 10:53

我已经做过那一步了，删除 API 端点就是我一直在使用的，它同时用于两种操作（仅删除和删除并屏蔽）——唯一的区别在于所使用的参数（如 block_ip、block_email 等），我之前已经提到过这些参数。

mentalstring:

然而，我们发送 DELETE 请求时使用的是 block_ip=false。以下是 Rails 日志中的内容：
Parameters: {"delete_posts"=>"1", "block_email"=>"0", "blocked_urls"=>"0", "block_ip"=>"0", "id"=>"123"}

我想我终于弄清楚我的请求出问题的原因了：Discourse 的 API 要求使用字符串 'true' 和 'false'，而不是真值/假值。我之前没注意到文档中的这一说明，是我的疏忽。文档链接。

这很可能就是导致所有这些问题的原因。

mentalstring · 2021 年6 月 14 日 16:44

我可能高兴得太早了。

在将 truthy/falsy 参数修正为 ‘true’/‘false’ 字符串后，我发现在删除用户时，仍有条目被添加到“屏蔽 IP"和“屏蔽邮箱”中。

以下是某次 API 调用的 Rails 日志：

Started DELETE "/admin/users/9553.json" for 123.123.123.123 at 2021-06-10 00:01:21 +0000
Processing by Admin::UsersController#destroy as JSON
  Parameters: {"delete_posts"=>"false", "block_email"=>"false", "blocked_urls"=>"false", "block_ip"=>"false", "id"=>"9553"}
Can't verify CSRF token authenticity.
  Rendering text template
  Rendered text template (Duration: 0.0ms | Allocations: 1)
Completed 418  in 8ms (Views: 1.4ms | ActiveRecord: 0.0ms | Allocations: 2301)

而通过 Web 界面（而非直接调用 API）执行时的请求如下：

Started DELETE "/admin/users/49.json" for 123.123.123.123 at 2021-06-10 08:24:47 +0000
Processing by Admin::UsersController#destroy as JSON
  Parameters: {"context"=>"/admin/users/49/XXX", "delete_posts"=>"true", "id"=>"49"}
  Rendered text template (Duration: 0.0ms | Allocations: 1)
Completed 418  in 23ms (Views: 4.7ms | ActiveRecord: 0.0ms | Allocations: 1778)

因此，经过一些测试后，似乎 API 端点 /admin/users/{id}.json 的参数只要存在，就始终被解释为 true，而不管其实际值被设置为 ‘true’ 还是 ‘false’？

当我开始仅设置值为 ‘true’ 的参数，而跳过值为 ‘false’ 的参数后，就不再向“屏蔽 IP/邮箱”中添加任何条目了。

这是预期的行为吗？这与我根据文档所理解的内容不符。

codinghorror · 2021 年6 月 14 日 17:53

只要你模仿了在 Reverse engineer the Discourse API 主题中观察到的行为，就应该没问题。当你点击“仅删除”按钮时，在网络监控器中观察到了哪些 API 调用？

riking · 2021 年6 月 14 日 18:07

在某些情况下，如果 JavaScript 没有显式地向服务器传递 false，服务器会将任何存在的值视为 true。这很可能就是您在此遇到的问题。

话题		回复	浏览量
How to delete user accounts via API without IP blocking SSO rest-api	11	289	2025 年6 月 14 日
Can't SSO due to blocked IP addresses SSO rest-api	8	1964	2021 年6 月 8 日
Does SSO make use of Screened IP Addresses to block registrations? SSO	8	901	2020 年10 月 29 日
BAD CSRF Response When Trying to Delete User by API Support	7	986	2021 年3 月 5 日
Unable to log into my discourse - "You can't log in as xxx from that IP address." Support	8	3220	2021 年5 月 28 日

SSO 和筛选的 IP 地址

相关话题