Bug #28029: IDP_OIDC: en cas de redirect_uri invalide, ne pas rediriger - Authentic 2 - Redmine Entr’ouvert

Bug #28029

IDP_OIDC: en cas de redirect_uri invalide, ne pas rediriger

Ajouté par Benjamin Dauvergne il y a plus de 5 ans. Mis à jour il y a plus de 5 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Benjamin Dauvergne

Catégorie:

Version cible:

Début:

15 novembre 2018

Echéance:

% réalisé:

100%

Temps estimé:

Patch proposed:

Oui

Planning:

Description

Il faut simplement afficher l'erreur.

Fichiers

0002-idp_oidc-never-use-an-invalid-redirect_uri-fixes-280.patch (5,99 ko) 0002-idp_oidc-never-use-an-invalid-redirect_uri-fixes-280.patch		Benjamin Dauvergne, 15 novembre 2018 09:44
0001-idp_oidc-remove-unused-import.patch (865 octets) 0001-idp_oidc-remove-unused-import.patch		Benjamin Dauvergne, 15 novembre 2018 09:44

Révisions associées

Révision 4c45876e (diff)
Ajouté par Benjamin Dauvergne il y a plus de 5 ans

idp_oidc: never use an invalid redirect_uri (fixes #28029)

Check of "redirect_uri" move earlier during authorization request
processing. For any redirect_uri check failure errors are only shown to
the end user and redirect_uri is never used to redirect to the
requesting RP.

Historique

Mis à jour par Benjamin Dauvergne il y a plus de 5 ans

Fichier 0002-idp_oidc-never-use-an-invalid-redirect_uri-fixes-280.patch 0002-idp_oidc-never-use-an-invalid-redirect_uri-fixes-280.patch ajouté
Fichier 0001-idp_oidc-remove-unused-import.patch 0001-idp_oidc-remove-unused-import.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

Mis à jour par Serghei Mihai il y a plus de 5 ans

Je serais pour afficher le message explicite pourquoi la requete n'est pas valide: client_id invalide, redirect_uri invalide ?

Ainsi un client pourrait plus facilement comprendre ce que ne va pas, sans nous demander (et nous regarder dans les logs).

Mis à jour par Benjamin Dauvergne il y a plus de 5 ans

Serghei Mihai a écrit :

Je serais pour afficher le message explicite pourquoi la requete n'est pas valide: client_id invalide, redirect_uri invalide ?

Ça n'intéresse pas les utilisateurs finaux, quand on affiche des messages techniques aux gens ça les stresse, tout ce que doit dire ce message, c'est que le problème vient du site d'origine.

Ainsi un client pourrait plus facilement comprendre ce que ne va pas, sans nous demander (et nous regarder dans les logs).

À nous de documenter que ce message correspond aux trois cas suivants:

client_id ou redirect_uri manquant
client_id invalide
redirect_uri invalide

Je serai ok si on pouvait afficher un message avec un petit bouton "En savoir plus" qui donnerait les détails mais messages ne le permet pas (il ne supporte que du texte pas de HTML).

C'est suffisamment rare et idiot comme erreur.