Chiavi API utente: payload e stringa di query esistente portano a un doppio punto interrogativo

blattersturm · 22 Luglio 2019, 10:55am

Se chiamo user-api-key/new con un auth_redirect che contiene già una stringa di query (ad esempio http://localhost:30120/auth-discourse?state=BASE64), ottengo un URI di reindirizzamento simile a http://localhost:30120/auth-discourse?state=BASE64?payload=PAYLOAD - due stringhe di query, senza l’aggiunta di &.

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

888e68a16


      
          
          public_key = OpenSSL::PKey::RSA.new(params[:public_key])
          @payload = Base64.encode64(public_key.public_encrypt(@payload))
          
          if scopes.include?("one_time_password")
            # encrypt one_time_password separately to bypass 128 chars encryption limit
            otp_payload = one_time_password(public_key, current_user.username)
          end
          
          if params[:auth_redirect]
            redirect_path = +"#{params[:auth_redirect]}?payload=#{CGI.escape(@payload)}"
            redirect_path << "&oneTimePassword=#{CGI.escape(otp_payload)}" if scopes.include?("one_time_password")
            redirect_to(redirect_path)
          else
            respond_to do |format|
              format.html { render :show }
              format.json do
                instructions = I18n.t("user_api_key.instructions", application_name: @application_name)
                render json: { payload: @payload, instructions: instructions }
              end
            end

Questo codice potrebbe dover essere modificato per verificare se esiste già una stringa di query nell’URI, o forse utilizzare un costruttore di URI?

eviltrout · 22 Luglio 2019, 1:41pm

Sembra proprio che l’assunzione su cui si basa il codice sia che non contenga già parametri di query. Saremmo aperti a una PR per risolvere questo problema.

saurabhp · 23 Luglio 2019, 3:50pm

Ho aperto una PR per questo problema qui:

saurabhp · 24 Luglio 2019, 2:37am

La PR è stata unita. Questo argomento può essere chiuso

Argomento		Risposte	Visualizzazioni
Feasibility of allowing a User Api Key client to register a valid auth_redirect Development	7	376	Novembre 11, 2024
Redirect after login loses query params Development	9	2133	Luglio 8, 2019
Support wildcard in "allowed user api auth redirects" setting Feature	0	646	Dicembre 15, 2018
Per User API Keys Not Working Support	2	1208	Settembre 2, 2021
Generating User Api Keys with REST API Development rest-api	20	8714	Aprile 8, 2018

Chiavi API utente: payload e stringa di query esistente portano a un doppio punto interrogativo

Argomenti correlati