Benutzer-API-Schlüssel: Payload und bestehende Abfragezeichenfolge führen zu einem doppelten Fragezeichen

blattersturm · 22. Juli 2019 um 10:55

Wenn ich user-api-key/new mit einem auth_redirect aufrufe, der bereits einen Query-String enthält (z. B. http://localhost:30120/auth-discourse?state=BASE64), erhalte ich eine Redirect-URI wie http://localhost:30120/auth-discourse?state=BASE64?payload=PAYLOAD – zwei Query-Strings und kein & zur Anfügung.

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

888e68a16


      
          
          public_key = OpenSSL::PKey::RSA.new(params[:public_key])
          @payload = Base64.encode64(public_key.public_encrypt(@payload))
          
          if scopes.include?("one_time_password")
            # encrypt one_time_password separately to bypass 128 chars encryption limit
            otp_payload = one_time_password(public_key, current_user.username)
          end
          
          if params[:auth_redirect]
            redirect_path = +"#{params[:auth_redirect]}?payload=#{CGI.escape(@payload)}"
            redirect_path << "&oneTimePassword=#{CGI.escape(otp_payload)}" if scopes.include?("one_time_password")
            redirect_to(redirect_path)
          else
            respond_to do |format|
              format.html { render :show }
              format.json do
                instructions = I18n.t("user_api_key.instructions", application_name: @application_name)
                render json: { payload: @payload, instructions: instructions }
              end
            end

Dieser Code müsste möglicherweise so geändert werden, dass geprüft wird, ob die URI bereits einen Query-String enthält, oder es könnte ein URI-Builder verwendet werden.

eviltrout · 22. Juli 2019 um 13:41

Es scheint, als gehe der Code davon aus, dass er keine Abfrageparameter enthält. Wir wären offen für einen PR, um dies zu beheben.

saurabhp · 23. Juli 2019 um 15:50

Ich habe für dieses Problem einen PR hier eröffnet:

saurabhp · 24. Juli 2019 um 02:37

PR wurde gemerged. Dieses Thema kann geschlossen werden

Thema		Antworten	Aufrufe
Feasibility of allowing a User Api Key client to register a valid auth_redirect Development	7	376	11. November 2024
Redirect after login loses query params Development	9	2133	8. Juli 2019
Support wildcard in "allowed user api auth redirects" setting Feature	0	646	15. Dezember 2018
Per User API Keys Not Working Support	2	1208	2. September 2021
Generating User Api Keys with REST API Development rest-api	20	8714	8. April 2018

Benutzer-API-Schlüssel: Payload und bestehende Abfragezeichenfolge führen zu einem doppelten Fragezeichen

Verwandte Themen