Aktuell funktioniert der OIDC Authorization Flow in der App nicht. Möglicherweise hängt es mit der von der App verwendenten PKCE Erweiterung zusammen.
Warum genau nach dem Login doorkeeper in die App zurück redirected (sacappdev://signin-oidc?error=login_required&error_description=The+authorization+server+requires+end-user+authentication&state=VL0uBHopjeSJ9I0MwevgwA) ist unklar.
Zum lokalen testen von oidc muss JWT_SIGNING_KEY gesetzt sein.
❯ openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048
❯ JWT_SIGNING_KEY=private_key.pem rails s
Der prompt=login Parameter signalisiert, dass das der client sich neu anmelden will. Daher soll hitobito
- Bestehende Session invalidieren
- Zur login seite redirecten oder diese rendern
- Mit den request parameter vom client nach erfolgreichem Login wieder zum client zurück redirecten
Das default auf StoreLocationVerhalten basisierende redirect handling muss adaptiert werden, so dass nach einem abgefangenen authorization request und anschliessendem erfolgreichem Login, an die redirect_uri aus dem authorization request weitergeleitet und nicht an den abgefangenen (weil nicht authorisierten) authorization request selbst weitergeleitet wird.
Aktuell funktioniert der OIDC Authorization Flow in der App nicht. Möglicherweise hängt es mit der von der App verwendenten PKCE Erweiterung zusammen.
Warum genau nach dem Login doorkeeper in die App zurück redirected (
sacappdev://signin-oidc?error=login_required&error_description=The+authorization+server+requires+end-user+authentication&state=VL0uBHopjeSJ9I0MwevgwA) ist unklar.Zum lokalen testen von oidc muss
JWT_SIGNING_KEYgesetzt sein.Der
prompt=loginParameter signalisiert, dass das der client sich neu anmelden will. Daher soll hitobitoDas default auf StoreLocationVerhalten basisierende redirect handling muss adaptiert werden, so dass nach einem abgefangenen authorization request und anschliessendem erfolgreichem Login, an die
redirect_uriaus dem authorization request weitergeleitet und nicht an den abgefangenen (weil nicht authorisierten) authorization request selbst weitergeleitet wird.