Projet

Général

Profil

Development #58718

sur une erreur d'authentification dans un appel oidc logguer le client_id/client_secret

Ajouté par Frédéric Péters il y a plus de 2 ans. Mis à jour il y a plus de 2 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Valentin Deniaud
Catégorie:
-
Version cible:
-
Début:
18 novembre 2021
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:
Non

Description

Aujourd'hui on a un message type :

idp_oidc: error "invalid_client" in token endpoint "Mauvais secret de client" for client XYZ

ça serait utile pour le debug d'avoir les client_id et client_secret envoyés repris dans les logs, qu'on puisse par exemple directement pointer la faute de recopie du client_secret.

Fichiers

0001-idp_oidc-log-invalid-client_secret-58718.patch (3,36 ko) 0001-idp_oidc-log-invalid-client_secret-58718.patch Valentin Deniaud, 01 décembre 2021 17:41
0001-idp_oidc-log-invalid-client_secret-in-token-endpoint.patch (3,83 ko) 0001-idp_oidc-log-invalid-client_secret-in-token-endpoint.patch Valentin Deniaud, 08 décembre 2021 16:21
0002-idp_oidc-log-invalid-client_id-in-token-endpoint-587.patch (2,7 ko) 0002-idp_oidc-log-invalid-client_id-in-token-endpoint-587.patch Valentin Deniaud, 08 décembre 2021 16:21

Révisions associées

Révision 2e9dcad6 (diff)
Ajouté par Valentin Deniaud il y a plus de 2 ans

idp_oidc: log invalid client_secret in token endpoint (#58718)

Révision 75217f59 (diff)
Ajouté par Valentin Deniaud il y a plus de 2 ans

idp_oidc: log invalid client_id in token endpoint (#58718)

Historique

#2

Mis à jour par Valentin Deniaud il y a plus de 2 ans

  • Assigné à mis à Valentin Deniaud
#3

Mis à jour par Valentin Deniaud il y a plus de 2 ans

#4

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Peut-être dans les infos supplémentaires entre parenthèses, préciser que c’est l’info fournie et non pas celle attendue qui est logguée ?
Et aussi sans doute recourir à ces infos supplémentaires lorsque l’id de client fourni n’est pas bon, dans ce bout de code à la fin de authenticate_client ?

    client = get_client(client_id)
    if not client:
        raise WrongClientId

#5

Mis à jour par Valentin Deniaud il y a plus de 2 ans

Paul Marillonnet a écrit :

Et aussi sans doute recourir à ces infos supplémentaires lorsque l’id de client fourni n’est pas bon

Oui pour l'inclure dans le message par contre l'acrobatie de extra_data se justifie par le fait de pouvoir avoir des infos différentes dans les logs et dans la vue, pour ne pas afficher le client_secret à une faute de frappe près sur une page web. Je me dis que ce n'est peut-être la peine de s'embêter de la sorte avec le client_id, à toi de me dire.

#6

Mis à jour par Paul Marillonnet il y a plus de 2 ans

  • Statut changé de Solution proposée à Solution validée

Valentin Deniaud a écrit :

l'acrobatie de extra_data se justifie par le fait de pouvoir avoir des infos différentes dans les logs et dans la vue, pour ne pas afficher le client_secret à une faute de frappe près sur une page web. Je me dis que ce n'est peut-être la peine de s'embêter de la sorte avec le client_id, à toi de me dire.

Oui j’avais loupé ça. Pas la peine en effet. Ack.

#7

Mis à jour par Valentin Deniaud il y a plus de 2 ans

  • Statut changé de Solution validée à Résolu (à déployer)
commit 75217f5919eb302c74ae48e28ba052e3b0460b25
Author: Valentin Deniaud <vdeniaud@entrouvert.com>
Date:   Wed Dec 8 15:45:20 2021 +0100

    idp_oidc: log invalid client_id in token endpoint (#58718)

commit 2e9dcad64b27ba9667110b7e5a25c4f799d3dd8e
Author: Valentin Deniaud <vdeniaud@entrouvert.com>
Date:   Wed Dec 1 17:39:12 2021 +0100

    idp_oidc: log invalid client_secret in token endpoint (#58718)
#8

Mis à jour par Frédéric Péters il y a plus de 2 ans

  • Statut changé de Résolu (à déployer) à Solution déployée
#9

Mis à jour par Transition automatique il y a environ 2 ans

Automatic expiration

Formats disponibles : Atom PDF