Вход через SSO, похоже, перестал работать

jeffbonasso · 23.Январь.2022 12:13:12

У меня уже несколько лет работает интеграция SSO с моего сайта, и проблем не возникало.

Недавно пользователи начали сообщать, что при входе их перенаправляет на мой сайт для авторизации, а затем они снова оказываются в Discourse, где всё ещё отображается сообщение о необходимости входа. Я пытаюсь отладить проблему, но никаких ошибок не обнаруживаю. Похоже, что что-то идёт не так именно на этапе перенаправления для входа.

Когда я проверяю учётную запись пользователя в Discourse, она создаётся, но почему-то вход не выполняется.

Вот короткое видео, демонстрирующее проблему:

Я следовал этой инструкции:

…и использую последнюю версию библиотеки discourse-sso для JavaScript.

Ниже представлен код моей AWS Lambda, перед которой стоит API Gateway:

'use strict';

exports.handler = (event, context, callback) => {
    console.log(event);

    var discourse_sso = require('discourse-sso');
    var sso = new discourse_sso("********************"); // секрет скрыт

    var body = JSON.parse(event.body);

    var payload = body.sso; // получить из входящего запроса
    var sig = body.sig; // получить из входящего запроса
    
    if(sso.validate(payload, sig)) {
        var nonce = sso.getNonce(payload);
        
        var userparams = {
            // Обязательно, иначе будет выброшено исключение
            "nonce": nonce,
            "external_id": body.externalId,
            "email": body.email,
            // Опционально
            "username": body.username,
            "name": body.name
        };
        
        console.log("Пользователь: " + JSON.stringify(userparams));
        
        var q = sso.buildLoginString(userparams);

        console.log("q: " + q);

        // Перенаправление
        var response = {
            statusCode: 200,
            headers: {
                "Access-Control-Allow-Origin": "*"
            },
            body: JSON.stringify({"q":q})
        };
        
        callback(null, response);
    } else {
        // Что делать, если валидация не прошла?
        var responseError = {
            statusCode: 200,
            headers: {
                "Access-Control-Allow-Origin": "*"
            },
            body: JSON.stringify({"error":"Ошибка валидации SSO"})
        };

        callback(null, responseError);
    }
};

Когда в Discourse нажимается кнопка входа, вызывается мое веб-приложение, где выполняется проверка пользователя. Если проверка успешна, выполняется следующий код:

						if (state.get(["appState", "urlParams", "sso"]) && state.get(["appState", "urlParams", "sig"])) {
							var userMetadata = getUserMetadata(result);

							var body = {
								sso: state.get(["appState", "urlParams", "sso"]),
								sig: state.get(["appState", "urlParams", "sig"]),
								externalId: keyPrefix,
								email: userMetadata.email,
								name: userMetadata.name,
								username: username
							};

							request
								.post('https://**********.execute-api.us-east-1.amazonaws.com/prod/discourse-sso')
								.send(body)
								.end(function (err, res) {
									if (err || !res.ok) {
										alert(err.message);
									} else {
window.location.replace("https://forum.miralouaero.com/session/sso_login?" + res.body.q);
									}
								});
						}

Буду признателен за любую помощь в понимании того, что может происходить.

david · 23.Январь.2022 12:25:14

Это, скорее всего, вызвано ошибкой в Chrome 97, который был выпущен в этом месяце. Пока мы ждем, когда Google выпустит исправление, мы добавили обходное решение в Discourse. Обновление вашего сайта до последней версии должно решить проблему.

jeffbonasso · 23.Январь.2022 12:59:54

К сожалению, я использую хостинг-провайдера. Есть ли какие-либо другие обходные пути? Если я временно отключу SSO в Discourse, а затем включу его снова после исправления, не возникнет ли при этом проблем? Я предполагаю, что в таком случае пользователям придется вручную создавать учетные записи. Меня просто интересует, что произойдет, когда я снова включу SSO: создастся ли новая учетная запись, связанная с моей системой?

david · 23.Январь.2022 13:31:13

Боюсь, что нет. Наш управляемый хостинг discourse.org актуален. Можете ли вы сообщить, какого провайдера вы используете? Возможно, мы сможем связаться с ними и сообщить об обновлении.

Если адреса электронной почты совпадают, всё должно работать без сбоев. Изначально пользователям потребуется использовать кнопку «Забыли пароль», чтобы создать пароль.

RGJ · 23.Январь.2022 13:43:11

@jeffbonasso Я вижу, что вы размещены у нас, мы поищем для вас решение. Не могли бы вы создать тикет через нашу панель управления, сославшись на эту тему?

Нет, это сработает. Если вы включите его обратно, то SSO распознает адрес электронной почты.
Однако у существующих пользователей могут возникнуть трудности с входом, так как у них нет пароля непосредственно для форума.

@david Могу я спросить — в каком коммите Discourse содержится это исправление?

david · 23.Январь.2022 14:54:32

Для стабильной ветки исправление выглядит так:

github.com/discourse/discourse

FIX: Bypass service worker on the SSO path (#15558) (#15560)

committed 12:08AM - 13 Jan 22 UTC

davidtaylorhq

+2 -2

This is a workaround a behavior change in Chromium v97. The following text was …sent to the blink-dev mailing list: > This change broke a SingleSignOn login on the FOSS software Discourse. We have a flow like: > > 1. User visits forum.siteA.com, click login > 2. Gets redirected to idp.siteB.com > 3. Fills login details > 4. Gets redirected to forum.siteA.com/session/sso_login?parameters > 5. Gets redirected to forum.siteA.com/homepage > > On step 4, the response includes a `set-cookie` header, with proper `HttpOnly; SameSite=Lax; Secure `and set. But if there is an active service worker, the login will fail as that cookie will be rejected by Chromium due to SameSite rules now. > > t=2971 [st=258] COOKIE_INCLUSION_STATUS > --> domain = "forum.siteA.com" > --> name = "_t" > --> operation = "store" > --> path = "/" > --> status = "EXCLUDE_SAMESITE_LAX, DO_NOT_WARN" > > The service worker is a vanilla WorkboxJS service worker that intercepts all GETs with the "Network First" strategy. > > Disabling the service worker or using Firefox results in a successful login. There is no warning in either DevTools network tab nor the console that the cookie was rejected. > > Chrome 96: login works > Chrome 97: login does not work > Chrome 98: login does not work > > Is this expected behavior? Even if the request `GET forum.siteA.com` was initiated because of a redirect from a different domain, is it expected that Chrome will silently drop same site cookies from forum.siteA.com? Co-authored-by: Rafael dos Santos Silva <xfalcox@gmail.com>

Аналогичный коммит также доступен в ветках beta и tests-passed.

RGJ · 23.Январь.2022 15:16:00

Спасибо, Дэвид.

Это исправление уже есть на вашем форуме с 13 января @jeffbonasso, так что это не оно (или ваши сообщения поступили до этой даты?)

jeffbonasso · 23.Январь.2022 16:48:34

Видео, которое я создал, было записано с тестовым пользователем, которого я создал сегодня утром, и поведение соответствовало тому, что испытывал клиент. Интересно, я только что попробовал войти через Safari, и это сработало. Затем я снова попробовал Chrome, и теперь он тоже работает. Версия Chrome, с которой я только что тестировал, — 97.0.4692.99 (официальная сборка) (x86_64). Я свяжусь с клиентом, у которого были проблемы, чтобы узнать, сохраняются ли у них проблемы.

jeffbonasso · 23.Январь.2022 17:27:51

К сведению… Клиент сообщил, что использует браузер Brave, производный от Chrome. Он сказал, что он по-прежнему не работает. Затем он попробовал Edge, и он работает.

sam · 24.Январь.2022 04:47:32

Наш обходной путь специфичен для Chrome, возможно, нам нужно расширить сеть здесь, @Falco / @david.

Интересно, стоит ли добавить настройку сайта для отключения сервисных воркеров, которую пользователи смогут включить, если столкнутся с подобными проблемами?

Falco · 24.Январь.2022 04:51:07

Это уже исправлено в последней версии Chrome с 2022-01-19T03:00:00Z, поэтому я считаю, что производные версии Chrome вскоре последуют за этим, так как релиз с этим исправлением, 97.0.4692.99, также включает одно критическое и 15 высокоприоритетных исправлений безопасности.

david · 24.Январь.2022 10:23:39

Мы применили исправление DiscourseConnect для всех браузеров. Последующее глобальное исправление было специфичным для Chrome, но благодаря строкам пользовательского агента оно также должно работать для Edge/Brave:

Edge: 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Edg/97.0.1072.55'

И, как выясняется, Brave не кастомизирует стандартный пользовательский агент Chrome

Тема		Ответов	Просм.
Discourse SSO failed to login the user while redirection SSO discourseconnect	0	825	09.03.2022
SSO login suddenly broke Bug sso , discourseconnect	10	2239	27.05.2015
Login redirect during sso provider login Bug sso , discourseconnect	4	2772	25.10.2015
Issues using SSO in custom web app Development	10	1496	09.01.2018
SSO (maybe) specific issue SSO	2	2186	04.09.2018

Вход через SSO, похоже, перестал работать

Связанные темы