Impossibile loggarsi di nuovo subito dopo aver fatto login

[pkirk]

Buongiorno Marco,
ho un test case fallito nel quale

1. l'utente si logga correttamente su WP tramite SPID
2. l'utente si slogga da WP dal link "Esci" in alto a destra
3. l'utente viene rimandato a (dopo brevissimo redirect al sito dell'IDP)
   https://www.odcec-ra.it/wp-login.php?spid_sso=out
4. se l'utente prova a fare di nuovo login "Entra con SPID" e clicca sul suo IDP, viene rimandato su
   https://www.odcec-ra.it/wp-login.php?spid_sso=in&spid_idp=1
   quando invece dovrebbe esser rimandato al suo IDP
5. se a questo punto riprova a fare "Entra con SPID", tutto funziona correttamente

Riesci a riprodurlo?

[pkirk]

Aggiungo, nel dubbio che possa essere utile, che utilizzando Aruba al secondo accesso mi viene richiesta la password.
Utilizzando invece InfoCERT, risulgo già loggato e quindi mi viene soltanto chiesta l'autorizzazione, come se l'URL di logout di InfoCERT, al quale vengo velocemente rimandato, non funzionasse.

[milesimarco]

Buongiorno,
potresti riprodurre lo stesso percorso con la modalità WP_DEBUG attiva? Dovresti notare ulteriori stampe di anomalie/errori/warning SPID sulla finestra di login.
Da lì possiamo capire come procedere. Purtroppo al momento non ho uno SPID per i 2 provider da te indicati.

Grazie,
M.

[pkirk]

@milesimarco sembra farlo con qualsiasi SPID, non per forza con quei 2. Cmq, debug attivato:

• apro https://www.example.com/wp-admin/ e vengo rimandato a https://www.example.com/wp-login.php?redirect_to=etc.etc. e qui OK
• su questa schermata di login, il debug mi scrive "SPID Debug
  Auth state: not authenticated
  idpEntityId: (not set)"
• faccio "Entra con SPID" e scelgo il mio InfoCERT, che mi rimanda alla loro pagina di login
• inserisco le credenziali ed entro nel mio /wp-admin/ quindi OK, funziona tutto fin qui.
• Ma se ora dal link di WP in alto a destra, faccio "Esci", che ha link "https://www.example.com/wp-login.php?spid_sso=out"
• vengo rimandato alla pagina di login dove il debug mi scrive "SPID Debug
  Auth state: not authenticated
  idpEntityId: https://identity.infocert.it
  Disconnesso da SPID"
• e se per caso mi ero sloggato per errore, e faccio di nuovo "Entra con SPID" e di nuovo scelgo InfoCERT
• anziché essere rimandato alla pagina di login di InfoCERT, vengo di nuovo rimandato nella pagine dove mi trovavo, cioè quella di login di WP wp-login.php, dove il Debug recita: "SPID Debug

Auth state: authenticated
idpEntityId: https://identity.infocert.it"

• se a questo punto mi provo a loggare di nuovo, funziona correttamente, ma se mi sloggo, di nuovo ho il problema di qui sopra

[pkirk]

Buongiorno @milesimarco ti segnalo che impostando
$_SESSION = null;
anziché
session_destroy();
tutto sembra funzionare correttamente.
Questo nonostante il debug mi segnali ancora quando faccio logout.

SPID Debug

Auth state: not authenticated
idpEntityId: https://identity.infocert.it

[milesimarco]

Buonasera @pkirk,
ho applicato una modifica al file wp-spid-italia.php sul branch master:

session_destroy();
$_SESSION = NULL;

Puoi verificare?