Development #58718
sur une erreur d'authentification dans un appel oidc logguer le client_id/client_secret
0%
Description
Aujourd'hui on a un message type :
idp_oidc: error "invalid_client" in token endpoint "Mauvais secret de client" for client XYZ
ça serait utile pour le debug d'avoir les client_id et client_secret envoyés repris dans les logs, qu'on puisse par exemple directement pointer la faute de recopie du client_secret.
Fichiers
Révisions associées
idp_oidc: log invalid client_id in token endpoint (#58718)
Historique
Mis à jour par Valentin Deniaud il y a plus de 2 ans
- Fichier 0001-idp_oidc-log-invalid-client_secret-58718.patch 0001-idp_oidc-log-invalid-client_secret-58718.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Paul Marillonnet il y a plus de 2 ans
Peut-être dans les infos supplémentaires entre parenthèses, préciser que c’est l’info fournie et non pas celle attendue qui est logguée ?
Et aussi sans doute recourir à ces infos supplémentaires lorsque l’id de client fourni n’est pas bon, dans ce bout de code à la fin de authenticate_client
?
client = get_client(client_id)
if not client:
raise WrongClientId
Mis à jour par Valentin Deniaud il y a plus de 2 ans
- Fichier 0001-idp_oidc-log-invalid-client_secret-in-token-endpoint.patch 0001-idp_oidc-log-invalid-client_secret-in-token-endpoint.patch ajouté
- Fichier 0002-idp_oidc-log-invalid-client_id-in-token-endpoint-587.patch 0002-idp_oidc-log-invalid-client_id-in-token-endpoint-587.patch ajouté
Paul Marillonnet a écrit :
Et aussi sans doute recourir à ces infos supplémentaires lorsque l’id de client fourni n’est pas bon
Oui pour l'inclure dans le message par contre l'acrobatie de extra_data se justifie par le fait de pouvoir avoir des infos différentes dans les logs et dans la vue, pour ne pas afficher le client_secret à une faute de frappe près sur une page web. Je me dis que ce n'est peut-être la peine de s'embêter de la sorte avec le client_id, à toi de me dire.
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Statut changé de Solution proposée à Solution validée
Valentin Deniaud a écrit :
l'acrobatie de extra_data se justifie par le fait de pouvoir avoir des infos différentes dans les logs et dans la vue, pour ne pas afficher le client_secret à une faute de frappe près sur une page web. Je me dis que ce n'est peut-être la peine de s'embêter de la sorte avec le client_id, à toi de me dire.
Oui j’avais loupé ça. Pas la peine en effet. Ack.
Mis à jour par Valentin Deniaud il y a plus de 2 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 75217f5919eb302c74ae48e28ba052e3b0460b25 Author: Valentin Deniaud <vdeniaud@entrouvert.com> Date: Wed Dec 8 15:45:20 2021 +0100 idp_oidc: log invalid client_id in token endpoint (#58718) commit 2e9dcad64b27ba9667110b7e5a25c4f799d3dd8e Author: Valentin Deniaud <vdeniaud@entrouvert.com> Date: Wed Dec 1 17:39:12 2021 +0100 idp_oidc: log invalid client_secret in token endpoint (#58718)
Mis à jour par Frédéric Péters il y a plus de 2 ans
- Statut changé de Résolu (à déployer) à Solution déployée
idp_oidc: log invalid client_secret in token endpoint (#58718)