Chaves de API do usuário: payload e string de consulta existente resultam em ponto de interrogação duplo

blattersturm · Julho 22, 2019, 10:55am

Se eu chamar user-api-key/new com um auth_redirect que já contém uma string de consulta (por exemplo, http://localhost:30120/auth-discourse?state=BASE64), acabo com uma URI de redirecionamento semelhante a http://localhost:30120/auth-discourse?state=BASE64?payload=PAYLOAD - duas strings de consulta e sem o & de concatenação.

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

888e68a16


      
          
          public_key = OpenSSL::PKey::RSA.new(params[:public_key])
          @payload = Base64.encode64(public_key.public_encrypt(@payload))
          
          if scopes.include?("one_time_password")
            # encrypt one_time_password separately to bypass 128 chars encryption limit
            otp_payload = one_time_password(public_key, current_user.username)
          end
          
          if params[:auth_redirect]
            redirect_path = +"#{params[:auth_redirect]}?payload=#{CGI.escape(@payload)}"
            redirect_path << "&oneTimePassword=#{CGI.escape(otp_payload)}" if scopes.include?("one_time_password")
            redirect_to(redirect_path)
          else
            respond_to do |format|
              format.html { render :show }
              format.json do
                instructions = I18n.t("user_api_key.instructions", application_name: @application_name)
                render json: { payload: @payload, instructions: instructions }
              end
            end

Esse código pode precisar ser alterado para verificar se já existe uma string de consulta na URI ou, talvez, usar algum construtor de URI?

eviltrout · Julho 22, 2019, 1:41pm

Parece que a suposição feita pelo código é de que ele já não contém parâmetros de consulta. Estaríamos abertos a um PR para corrigir isso.

saurabhp · Julho 23, 2019, 3:50pm

Abri um PR para esta questão aqui:

saurabhp · Julho 24, 2019, 2:37am

O PR foi mesclado. Este tópico pode ser fechado

Tópico		Respostas	Visualizações
Feasibility of allowing a User Api Key client to register a valid auth_redirect Development	7	376	11 de Novembro de 2024
Redirect after login loses query params Development	9	2133	8 de Julho de 2019
Support wildcard in "allowed user api auth redirects" setting Feature	0	646	15 de Dezembro de 2018
Per User API Keys Not Working Support	2	1208	2 de Setembro de 2021
Generating User Api Keys with REST API Development rest-api	20	8714	8 de Abril de 2018

Chaves de API do usuário: payload e string de consulta existente resultam em ponto de interrogação duplo

Tópicos relacionados