Produits Entr'ouvert » Authentic 2

Pour l'instant il faut juste ne pas bookmarker cette page... actuellement on a aucun moyen de savoir si un nonce est expiré les nonces n'existant pas en base; si jamais on avait ça il faudrait déterminer une URL de retour dépendante du service plutôt qu'une URL unique et directement renvoyer vers le service (et différencier le service du service BO encore plus chiant) en question plutôt que l'URL de retour par défaut qui est le portail usager.

Une possibilité plus simple ce serait de laisser la personne se connecter mais de déterminer l'URL de retour basée sur son OU, pour rediriger les agents vers le portail agent.

si un nonce est expiré les nonces n'existant pas en base

En l'espèce, ils sont bien en base.

        messages.warning(request, _('request has expired'))
→
        login_dump, consent_obtained, nid_format = get_and_delete_key_values(nonce)
→
        kv = KeyValue.objects.get(key=key)

Frédéric Péters a écrit :

si un nonce est expiré les nonces n'existant pas en base

En l'espèce, ils sont bien en base.

[...]

Oui mais non c'est spécifique.

Ok mais ça a du sens alors de ramener/limiter le ticket à la situation commune SAML, où :

• on sait que les nonces sont en base
• on peut faire un SSO initié par l'IdP vers ce qui sera trouvé en query string (service=portal-agent)

?

1ère chose, on pourrait juste virer le warning, ça supprimera la page intermédiaire au SSO vers le portail usager qui suit forcément cette erreur.

2ème chose, il faudrait propager le paramètre service de /login/ vers la destination, ici /idp/saml2/continue chose qui ne me semble pas faite actuellement, à partir de là on pourra donc utiliser ce slug pour trouver le LibertyProvider concerné et ainsi déclencher un SSO initié par l'IdP (via authentic2.idp.saml2.saml2_endpoints.idp_sso).