Projet

Général

Profil

Bug #30488

Déconnexion inopérante

Ajouté par Emmanuel Cazenave il y a environ 5 ans. Mis à jour il y a environ 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
-
Début:
08 février 2019
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

De #30425, une déconnexion inopérante.

D'un chat avec Benjamin et son analyse du fichier HRA ci-joint :

"""
C'est le ocokie A2_OPENED_SESSION qui déclenche le SSO, la vue _services.js n'est pas sensé provoquer un SSO normalement.
y a une race condition entre le chargement de https://combo/_services.js et et https://combo/accounts/mellon/logout/ qui sont chargés dans la même page (via un <script/> pour le premier et un <img/> pour le second)
si le premier se charge avant le second tout se passe bien.
si le second se charge avant le premier, alors en arrivant sur __services.js le middleware PassiveAuthenticationMiddleware détecte le cookie A2_OPENED_SESSION qui n'a pas encore retiré car on est encore loggé sur l'idp (mais plus sur combo) et décide de déclencher un SSO vers a2
(puisque plus de session sur combo)
"""

Fichiers

demarches.rouen.fr.har (1,47 Mo) demarches.rouen.fr.har Emmanuel Cazenave, 08 février 2019 14:32
0001-misc-don-t-let-mellon-passive-authentication-run-on-.patch (823 octets) 0001-misc-don-t-let-mellon-passive-authentication-run-on-.patch Frédéric Péters, 08 février 2019 15:34

Demandes liées

Lié à django-mellon - Development #30497: PassiveAuthenticationMiddleware ne devrait rien faire sur les images et le js Fermé08 février 2019

Actions

Révisions associées

Révision 88495adc (diff)
Ajouté par Frédéric Péters il y a environ 5 ans

misc: don't let mellon passive authentication run on services.js (#30488)

Historique

#1

Mis à jour par Frédéric Péters il y a environ 5 ans

  • Sujet changé de Déconnection innopérante à Déconnexion inopérante
#2

Mis à jour par Frédéric Péters il y a environ 5 ans

On pourrait imaginer que PassiveAuthenticationMiddleware ne fasse rien sur les *.js voire même d'autres extensions (je pense particulièrement aux images).

Sinon, traiter juste ce cas précis et dans combo taper mellon_no_passive sur la vue.

#3

Mis à jour par Frédéric Péters il y a environ 5 ans

Sinon, traiter juste ce cas précis et dans combo taper mellon_no_passive sur la vue.

Voilà pour ça.

#4

Mis à jour par Thomas Noël il y a environ 5 ans

  • Statut changé de Solution proposée à Solution validée

J'avais oublié de mellon_no_passive, parfait. Merci Frédéric.

#5

Mis à jour par Emmanuel Cazenave il y a environ 5 ans

  • Lié à Development #30497: PassiveAuthenticationMiddleware ne devrait rien faire sur les images et le js ajouté
#6

Mis à jour par Frédéric Péters il y a environ 5 ans

  • Projet changé de Publik à Combo
#7

Mis à jour par Frédéric Péters il y a environ 5 ans

  • Statut changé de Solution validée à Résolu (à déployer)
commit 88495adce55d94869be85daaf1de9ca399065f05
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Fri Feb 8 15:33:30 2019 +0100

    misc: don't let mellon passive authentication run on services.js (#30488)
#8

Mis à jour par Frédéric Péters il y a environ 5 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF