使用 Omniauth 和 Google “检测到 CSRF”

Question

我收到了

OmniAuth::Strategies::OAuth2::CallbackError 在 /auth/google/callback csrf_detected |检测到 CSRF

我的代码：

require 'sinatra'
require "sinatra/json"
require "sinatra/config_file"
require 'omniauth-oauth2'
require 'omniauth-google-oauth2'

use Rack::Logger

config_file "config/app_config.yml"
use Rack::Session::Cookie, secret: '5fb7w345y3489f523y4h'

configure do
  enable :sessions
end

use OmniAuth::Builder do
  provider :google_oauth2, settings.google[:client_id], settings.google[:secret],
    {
      :scope => "userinfo.profile",
      :access_type => "offline",
      :prompt => "select_account consent",
      :name => "google"
    }
end

get '/list' do
  json get_list
end

get '/' do
  %Q|<a href='/auth/google'>Sign in with Google</a>|
end

get '/auth/:name/callback' do
  @auth = request.env['omniauth.auth']
  @auth.inspect
end

我的回调同时返回代码和状态。

Answer 1

当/config/initializer/session_store.rb 中定义的域与google api 控制台中定义的origin/redirect_uri 不同时，rails 会出现此问题。

MyApp::Application.config.session_store :cookie_store, key: '_app_session', domain: 'my_app.com'

删除域参数或在双方使用相同的域解决了问题。

Answer 2

遇到同样的问题

(google_oauth2) 回调阶段已启动。
(google_oauth2) 验证失败！ csrf_detected： OmniAuth::Strategies::OAuth2::CallbackError, csrf_detected | CSRF 检测到

上次 Omniauth-oauth2 更新引入的“状态”参数有一个必填字段。

有些人建议使用 provider_ignores_state: true 但这是个坏主意，因为它引入了 csrf 缺陷

猜想我们必须降级到以前的版本才能保持 google_oauth2 正常工作。

发到https://github.com/intridea/omniauth-oauth2/issues/58

Answer 3

如果您使用带 OmniAuth 的 Devise，您需要跳过额外的 omniauth.rb 初始化文件，只需在您的初始化程序/devise.rb 中添加 config.provider "KEY"、"SECRET"，然后继续您的实现。

Answer 4

您是否回击并重新尝试登录？我遇到了这个问题，这真的让我很困惑，但这是因为我要回去重试。如果我再次输入地址，我不会得到问题