Passer au contenu principal
Nous avons ajouté la validation du paramètre state à la version 3.6.0 de l’extension WordPress, que vous trouverez dans le dépôt GitHub auth0/wordpress. Cette mesure de sécurité aide à atténuer les attaques CSRF en veillant à ce que la réponse corresponde à une requête lancée par le même utilisateur. Pour en savoir plus, consultez Prevent Attacks and Redirect Users with OAuth 2.0 State Parameter.

Comment fonctionne la validation du paramètre state

L’extension valide le paramètre state comme suit :
  1. Elle définit un cookie auth0_state dans le navigateur au moyen de JavaScript lorsque le formulaire de connexion Lock est affiché (sur wp-login.php ou sur toute autre page lors de l’utilisation d’un shortcode ou d’un widget).
  2. Elle transmet cette valeur au formulaire de connexion intégré de Lock afin qu’elle soit envoyée avec la requête d’authentification.
  3. Elle reçoit cette valeur en retour d’Auth0, inchangée, dans un paramètre d’URL state si la connexion avec Auth0 a réussi.
  4. Elle vérifie que la valeur reçue correspond à la valeur envoyée et stockée dans le cookie auth0_state. Si c’est le cas, le processus de connexion se poursuit. Sinon, le processus s’arrête et le message d’erreur « Invalid state » s’affiche.
  5. Elle supprime le cookie, qu’il soit valide ou non.
  6. Elle utilise les valeurs de l’objet décodé en Base64 pour rediriger l’utilisateur ou effectuer d’autres actions de connexion, si elles sont valides.
Ce processus devrait être entièrement transparent, tant pour l’utilisateur qui se connecte que pour l’administrateur du site. Le serveur Auth0 ne valide pas la valeur state et ne l’exige pas; il la retourne telle quelle à l’URL de rappel. Si le message « Invalid state » s’affiche, c’est qu’une des 4 premières étapes ci-dessus ne se produit pas.

Causes courantes de l’erreur « invalid state »

Vous trouverez ci-dessous quelques causes courantes de l’erreur « invalid state », ainsi que des étapes de dépannage que vous pouvez suivre.

URLs de rappel mises en cache

La cause la plus fréquente de l’erreur de state invalide est la mise en cache de l’URL de rappel sur le serveur. Désactivez la mise en cache sur votre serveur pour toutes les URL indiquées dans le champ Allowed Callback URLs de Auth0 Dashboard > Applications > Applications > Settings, puis testez de nouveau. De plus, désactivez la mise en cache de l’URL du site (/index.php dans une installation standard) si elle contient un paramètre d’URL Auth0. Vérifiez également que l’heure de votre serveur est correctement réglée. L’erreur BeforeValidException peut se produire lorsque le jeton est considéré comme ayant été généré avant l’heure actuelle, ce qui peut arriver si l’heure du serveur est incorrecte. Vous pouvez vérifier l’heure du serveur à l’aide de echo current_time( 'c' ). Comme solution de contournement temporaire, vous pouvez aussi modifier l’extension pour ajouter un décalage horaire si vous ne pouvez pas changer l’heure du serveur, mais le problème devrait être corrigé avant la mise en production. Si cela ne règle pas le problème, poursuivez avec les étapes de dépannage ci-dessous.

Cookies et paramètres d’URL mis en cache

Si vous utilisez un hébergeur géré comme WP-Engine, vous devrez peut-être communiquer avec son équipe d’assistance pour obtenir de l’aide supplémentaire. Des problèmes nous ont été signalés concernant l’accès aux cookies requis sur l’URL de rappel, ainsi que lors de la vérification de l’authentification sur la page finale affichée aux utilisateurs après leur connexion. Plus précisément, demandez l’ajout d’exclusions de cache pour :
  • Cookie : auth0_state
  • Cookie : auth0_nonce
  • Paramètre d’URL/argument : auth0
  • Paramètre d’URL/argument : code
  • Paramètre d’URL/argument : state
  • Paramètre d’URL/argument : id_token

Rafraîchissement de la page après un message d’erreur

Si vous rafraîchissez la page après avoir vu un autre message d’erreur (vérification du courriel, etc.), le message « invalid state » s’affichera, car le système tente de valider de nouveau une valeur déjà utilisée. C’est normal. Certains hébergeurs, comme Pantheon, exigent l’utilisation de noms de cookies particuliers. Vous pouvez modifier le nom du cookie à l’aide du filtre auth0_state_cookie_name dans votre thème ou une extension personnalisée. Pour en savoir plus sur le filtre auth0_state_cookie_name, consultez Étendre l’extension WordPress Login by Auth0. Pour plus d’informations, consultez le ticket GitHub correspondant et examinez le correctif.

Page Universal Login et création du lien

Si votre site utilise la page et que vous construisez vous-même le lien dans un thème ou une extension, vous devez :
  • Définir un cookie nommé auth0_state avec une valeur générée aléatoirement
  • Transmettre cette valeur dans un paramètre d’URL state.
Sinon, vous pouvez aller à Settings > Features tab > Universal Login Page et rediriger les requêtes de connexion vers la page wp-login.php, où ce cookie et ce paramètre d’URL seront définis automatiquement.

Accès direct à l’URL de rappel

Si vous accédez directement à votre URL de rappel (généralement yourdomain.com/index.php?auth0=1) ou si vous y accédez une deuxième fois après l’échange du code d’autorisation, l’erreur « state invalide » peut s’afficher. Cela indique que le state a déjà été vérifié, puis supprimé.

Dépanner les erreurs de state invalide

Notez que certaines des étapes ci-dessous nécessitent d’interrompre le processus de connexion pendant l’opération (comme indiqué) :
  1. En étant déconnecté de WordPress et d’Auth0, accédez à la page de connexion en cours de test.
  2. Vérifiez si le cookie auth0_state est défini (dans Chrome, View > Developer > JavaScript Console > onglet Application > Storage à gauche > Cookies > domaine en cours de test; recherchez un cookie auth0_state dont la valeur n’est pas vide).
    • Si cette valeur n’est pas définie, vérifiez s’il y a des erreurs dans la console JS et assurez-vous que votre navigateur accepte les cookies (la connexion ne fonctionnera pas sans cookies).
    • Si la valeur est définie, copiez-la et affichez le code source de la page (dans Chrome, View > Developer > View Source). Recherchez cette valeur; elle devrait apparaître comme valeur associée au paramètre wpAuth0LockGlobal.settings.auth.params.state (voir un exemple de JSON). Prenez cette valeur en note (vous en aurez besoin à une étape suivante).
  3. Si la valeur y apparaît et que le formulaire Lock se charge normalement, cela signifie que les étapes 1 et 2 de la première liste ci-dessus fonctionnent correctement.
  4. Avant de vous connecter, ajoutez cet extrait de code au début de votre wp-config.php afin de pouvoir effectuer un test d’installation. AVERTISSEMENT : cela interrompra la connexion pour le site WordPress en cours de test; utilisez-le uniquement sur une installation hors production.
  5. Connectez-vous normalement.
  6. Après avoir été redirigé vers l’URL de rappel de votre site, le processus s’arrêtera. Vous devriez voir une sortie semblable à celle affichée dans le Gist lié à l’étape no 4 ci-dessus. Si vous voyez quelque chose comme Array() sans valeur supplémentaire, l’une des deux situations suivantes peut se produire :
    • L’URL de rappel de WordPress est mise en cache. La mise en cache des pages peut se produire de nombreuses façons; nous ne pouvons donc pas fournir d’étapes précises ici. Vérifiez les extensions de mise en cache que vous avez peut-être installées; elles offrent généralement un mécanisme d’exclusion d’URL. Vérifiez aussi auprès de votre hébergeur, car la mise en cache peut être automatique et nécessiter l’intervention du soutien technique.
    • Le serveur ne lit pas le cookie Auth0. Pour une solution possible, consultez l’issue GitHub connexe et examinez son correctif.
  7. Si les valeurs sont présentes, vérifiez les en-têtes de réponse de l’URL de rappel en cours de chargement (dans Chrome, View > Developer > JavaScript Console > onglet Network, cliquez sur le premier “document” affiché avec un état 500 et cherchez “Response Headers”). Recherchez tout indice de mise en cache, comme un Cache-Control avec un max-age différent de zéro, un x-cache autre que MISS, ou tout autre indice montrant que cette page est servie à partir d’un cache.
  8. Toujours dans les en-têtes de réponse, vérifiez que set-cookie inclut une directive comme auth0_state=deleted pour confirmer que le processus de validation a bien lieu.
  9. Assurez-vous que le paramètre state dans l’URL correspond à celui enregistré à partir du cookie défini à l’étape no 3 ci-dessus.
  10. S’il n’y a aucun indice de mise en cache, supprimez l’extrait de débogage de wp-config.php et actualisez l’URL de rappel. Vous devriez voir de nouveau le message “Invalid state”. Si des changements liés à la mise en cache ont été apportés, refaites le processus de connexion du début à la fin (assurez-vous d’effacer vos cookies et le cache de votre navigateur pour le site avant de tester).
Les étapes de dépannage suivantes nécessitent des modifications à l’extension qui interrompront le processus de connexion et devront être annulées une fois terminées. Ces étapes doivent être effectuées sur un serveur de test ou de préproduction.
  1. Ensuite, nous devons vérifier pourquoi le state est transmis, mais ne correspond pas à la valeur stockée.
  2. Dans lib/WP_Auth0_LoginManager.php, affichez les valeurs du state stocké et du state renvoyé, puis arrêtez le processus. Juste avant la ligne 148, ajoutez : 
echo '<h1>$_REQUEST</h1>'; var_dump($_REQUEST); echo '<h1>$_COOKIE</h1>'; var_dump($_COOKIE); die('<h1>Done</h1>');
  1. Encore une fois, assurez-vous d’être déconnecté, puis effectuez la procédure de connexion.
  2. Vous devriez voir des valeurs s’afficher lors de la redirection vers l’URL de rappel WordPress.
  3. Vérifiez que la valeur state dans $_REQUEST existe et qu’elle correspond à la valeur auth0_state dans $_COOKIE.
  • Si elle est différente, elle doit correspondre à la valeur d’origine consignée à l’étape 3 ci-dessus. Cela signifie que la valeur state de $_COOKIE a changé à un moment donné du processus.
Si aucune des étapes ci-dessus ne permet de résoudre le problème, veuillez recueillir les résultats de ces étapes et communiquer avec le soutien technique ou publier dans la communauté avec l’étiquette wordpress. Incluez également :