Clés API utilisateur : le payload et la chaîne de requête existante entraînent un double point d'interrogation

blattersturm · Juillet 22, 2019, 10:55

Si j’appelle user-api-key/new avec un auth_redirect contenant déjà une chaîne de requête (par exemple http://localhost:30120/auth-discourse?state=BASE64), je me retrouve avec une URI de redirection du type http://localhost:30120/auth-discourse?state=BASE64?payload=PAYLOAD — deux chaînes de requête, sans le & de concaténation.

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

888e68a16


      
          
          public_key = OpenSSL::PKey::RSA.new(params[:public_key])
          @payload = Base64.encode64(public_key.public_encrypt(@payload))
          
          if scopes.include?("one_time_password")
            # encrypt one_time_password separately to bypass 128 chars encryption limit
            otp_payload = one_time_password(public_key, current_user.username)
          end
          
          if params[:auth_redirect]
            redirect_path = +"#{params[:auth_redirect]}?payload=#{CGI.escape(@payload)}"
            redirect_path << "&oneTimePassword=#{CGI.escape(otp_payload)}" if scopes.include?("one_time_password")
            redirect_to(redirect_path)
          else
            respond_to do |format|
              format.html { render :show }
              format.json do
                instructions = I18n.t("user_api_key.instructions", application_name: @application_name)
                render json: { payload: @payload, instructions: instructions }
              end
            end

Il faudrait peut-être modifier ce code pour vérifier s’il existe déjà une chaîne de requête dans l’URI, ou utiliser un constructeur d’URI ?

eviltrout · Juillet 22, 2019, 1:41

Il semble que l’hypothèse faite par le code soit qu’il ne contient déjà aucun paramètre de requête. Nous serions ouverts à une PR pour corriger cela.

saurabhp · Juillet 23, 2019, 3:50

J’ai ouvert une PR pour ce problème ici :

saurabhp · Juillet 24, 2019, 2:37

La PR a été fusionnée. Ce sujet peut être fermé

Sujet		Réponses	Vues
Feasibility of allowing a User Api Key client to register a valid auth_redirect Development	7	376	Novembre 11, 2024
Redirect after login loses query params Development	9	2133	Juillet 8, 2019
Support wildcard in "allowed user api auth redirects" setting Feature	0	646	Décembre 15, 2018
Per User API Keys Not Working Support	2	1208	Septembre 2, 2021
Generating User Api Keys with REST API Development rest-api	20	8714	Avril 8, 2018

Clés API utilisateur : le payload et la chaîne de requête existante entraînent un double point d'interrogation

Sujets connexes