Claves de API de usuario: el payload y la cadena de consulta existente provocan un doble signo de interrogación

blattersturm · 22 Julio, 2019 10:55

Si llamo a user-api-key/new con un auth_redirect que ya contiene una cadena de consulta (por ejemplo, http://localhost:30120/auth-discourse?state=BASE64), termino con una URI de redirección similar a http://localhost:30120/auth-discourse?state=BASE64?payload=PAYLOAD - dos cadenas de consulta y sin un & de unión.

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

888e68a16


      
          
          public_key = OpenSSL::PKey::RSA.new(params[:public_key])
          @payload = Base64.encode64(public_key.public_encrypt(@payload))
          
          if scopes.include?("one_time_password")
            # encrypt one_time_password separately to bypass 128 chars encryption limit
            otp_payload = one_time_password(public_key, current_user.username)
          end
          
          if params[:auth_redirect]
            redirect_path = +"#{params[:auth_redirect]}?payload=#{CGI.escape(@payload)}"
            redirect_path << "&oneTimePassword=#{CGI.escape(otp_payload)}" if scopes.include?("one_time_password")
            redirect_to(redirect_path)
          else
            respond_to do |format|
              format.html { render :show }
              format.json do
                instructions = I18n.t("user_api_key.instructions", application_name: @application_name)
                render json: { payload: @payload, instructions: instructions }
              end
            end

Es posible que este código deba modificarse para verificar si ya existe una cadena de consulta en la URI, o quizás utilizar algún constructor de URI.

eviltrout · 22 Julio, 2019 13:41

Parece que la suposición que hace el código es que no contiene parámetros de consulta. Estaríamos abiertos a una PR para corregir esto.

saurabhp · 23 Julio, 2019 15:50

He abierto un PR para este problema aquí:

saurabhp · 24 Julio, 2019 02:37

La PR ha sido fusionada. Este tema puede cerrarse

Tema		Respuestas	Vistas
Feasibility of allowing a User Api Key client to register a valid auth_redirect Development	7	376	11 Noviembre 2024
Redirect after login loses query params Development	9	2133	8 Julio 2019
Support wildcard in "allowed user api auth redirects" setting Feature	0	646	15 Diciembre 2018
Per User API Keys Not Working Support	2	1208	2 Septiembre 2021
Generating User Api Keys with REST API Development rest-api	20	8714	8 Abril 2018

Claves de API de usuario: el payload y la cadena de consulta existente provocan un doble signo de interrogación

Temas relacionados