Zoraxy反向代理整合Authelia认证的配置要点

在自建服务的安全防护实践中，反向代理与认证系统的整合是一个常见需求。本文将详细介绍如何正确配置Zoraxy反向代理与Authelia认证系统的集成方案，特别针对常见的"不安全重定向"错误提供解决方案。

核心配置原理

Authelia作为独立认证服务，需要与Zoraxy反向代理协同工作。其认证流程本质上是：

1. 用户访问受保护服务
2. Zoraxy拦截请求并重定向至Authelia
3. 用户完成认证后返回原始请求
4. Authelia验证通过后允许访问

这个过程中，Cookie域配置是关键环节，它决定了认证状态如何在子域间共享。

典型配置错误分析

在用户案例中出现的"Redirection was determined to be unsafe"错误，通常源于以下配置问题：

1. Cookie域设置不当：将Authelia的cookie域限定在auth子域(auth.example.com)，导致其他子域无法共享认证状态
2. HTTPS配置缺失：未启用HTTPS或证书配置错误
3. 反向代理头信息不完整：缺少必要的X-Forwarded-*头信息

正确配置方案

Authelia配置要点

在Authelia的configuration.yml中，关键配置应包括：

server:
  address: tcp://0.0.0.0:9091

session:
  domain: example.com  # 必须使用根域而非子域
  secret: 强加密密钥
  expiration: 3600

access_control:
  default_policy: one_factor
  rules:
    - domain: "*.example.com"
      policy: one_factor

特别注意：

• session.domain必须设置为根域名(如example.com)，而非子域名(auth.example.com)
• 访问控制规则中的域名模式应使用通配符(*.example.com)匹配所有子域

Zoraxy配置要点

1. 创建专门的主机记录指向Authelia服务，如auth.example.com
2. 在SSO设置中：
   • Authelia服务器URL填写完整的认证子域地址(auth.example.com)
   • 确保勾选"使用HTTPS"选项
3. 确保所有相关子域都使用HTTPS协议

进阶建议

1. 安全性增强：

   • 为Authelia配置双因素认证
   • 定期轮换加密密钥和会话密钥
   • 设置合理的会话过期时间

2. 性能优化：

   • 对于高流量场景，考虑将Authelia的存储后端从SQLite迁移到MySQL/PostgreSQL
   • 适当调整会话缓存设置

3. 调试技巧：

   • 启用Authelia的debug级别日志
   • 检查浏览器开发者工具中的网络请求和Cookie信息
   • 验证各环节的HTTPS证书链是否完整

通过以上配置，可以建立稳定可靠的反向代理认证体系，既保障服务安全性，又提供流畅的用户体验。