解决Hassio Mealie Addon 2.2.0版本OIDC重定向问题

问题背景

在Hassio的Mealie Addon从2.1.0升级到2.2.0版本后，用户报告了OIDC(OpenID Connect)认证流程出现故障。主要症状表现为两种异常行为：

1. 当流量直接指向9000端口时，NGINX返回错误的HTML内容，导致前端资源加载失败
2. 当使用新增的9001端口时，OIDC回调URL被错误地构造为localhost地址而非实际域名

技术分析

经过排查，发现问题的根源在于2.2.0版本中NGINX配置的变更：

1. 新增了默认的/mealie/子路径支持，以适配Ingress功能
2. 改进了IP处理逻辑，添加了头部重写规则
3. 端口配置从9000变更为9001

这些变更影响了外部NGINX代理与Mealie容器之间的通信，特别是破坏了OIDC认证流程中关键的重定向URL构造。

解决方案

要解决此问题，需要在外部NGINX配置中做以下调整：

server {
    listen 443 ssl;
    server_name mealie.your.domain;

    # SSL证书配置
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;

    # 关键头部设置
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-Proto $scheme;

    # 根路径代理
    location / {
        proxy_pass http://mealie-container:9000;
    }

    # Mealie子路径代理
    location /mealie/ {
        proxy_pass http://mealie-container:9000/;
    }
}

配置说明

1. Host头部：确保Mealie服务能获取到正确的原始域名，而非容器内部地址
2. X-Forwarded-Proto：告知后端服务前端使用的是HTTPS协议
3. 双路径配置：同时处理根路径和/mealie/子路径的请求
4. 端口选择：继续使用9000端口而非新版9001端口

注意事项

1. 如果使用OIDC认证，回调URL必须与OIDC提供商注册的完全一致
2. 确保所有重定向都使用HTTPS协议，避免混合内容问题
3. 根据实际部署环境调整容器名称(mealie-container)为实际值

总结

通过调整外部NGINX的代理配置，可以解决Mealie Addon 2.2.0版本的OIDC认证问题。关键在于正确处理请求头信息和路径转发，确保后端服务能获取到正确的原始请求信息。这种配置方式既兼容了新版本的特性，又保持了OIDC认证流程的正常工作。