Développement #61592
Ajout de logs en cas de refus de requête de déconnexion CAS
0%
Description
- que l'entête HTTP_REFERER soit présente dans la requête
- qu'un service CAS soit trouvé en correspondance avec le referer de la requête
Si l'une ou l'autre de ces conditions n'est pas respectée, la requête est ignorée.
Ce patch ajoute un message WARNING logué pour chacun de ces deux cas de refus, facilitant grandement la résolution de problème à ce niveau.
Files
History
Updated by Thomas Noël over 3 years ago
- Status changed from Nouveau to En cours
- Assignee set to Benjamin Renard
La seule question que je me pose c'est le niveau "warning" au lieu d'un simple "info". J'imagine que "warning" exprime un besoin de remonter ça en alerte à un moment (et pas juste une trace dans les logs), donc ok pour ça.
Ensuite, peux-tu modifier ainsi le message de commit :
idp cas: log why CAS logout request was rejected (#61592) License: MIT
Updated by Benjamin Renard over 3 years ago
- File 0001-idp-cas-log-why-CAS-logout-request-was-rejected-6159.patch 0001-idp-cas-log-why-CAS-logout-request-was-rejected-6159.patch added
Thomas Noël a écrit :
La seule question que je me pose c'est le niveau "warning" au lieu d'un simple "info". J'imagine que "warning" exprime un besoin de remonter ça en alerte à un moment (et pas juste une trace dans les logs), donc ok pour ça.
Tout à fait, c'est l'idée.
Ensuite, peux-tu modifier ainsi le message de commit :
[...]
Voilà.
Updated by Benjamin Dauvergne (retour le 1er août) over 3 years ago
Ici le code devrait surtout être corrigé, le logout CAS n'est pas sûr, n'importe qui peut faire un SLO, le check du Referer est une validation un peu has-been.
Plutôt que de refuser tacitement on devrait systématiquement présenter un écran de confirmation, c'est beaucoup plus user friendly (il faudrait faire pareil coté OIDC, dans le cas un peu équivalent de authentic2_idp_oidc.views.logout ou l'URL de retour est inconnue), il suffit de faire un redirect vers /logout/?next=<next_url> pour cela.