InvenTree生产环境Nginx配置问题解析与解决方案

问题背景

InvenTree是一款开源的库存管理系统，在裸金属生产环境部署时，用户反馈了几个关键问题：

1. 页面刷新后自动登出系统
2. 无法下载任何媒体文件
3. 图片无法正常显示
4. 旧版界面登录按钮失效

这些问题严重影响了系统的正常使用体验，经过排查发现是由于Nginx配置中的Cookie安全设置不当导致的。

问题根源分析

在/etc/inventree/config.yaml配置文件中，存在以下被注释掉的配置项：

# Cookie settings (nominally the default settings should be fine)
#cookie:
#  secure: false
#  samesite: false

当系统未启用SSL/TLS加密时，这些配置项如果保持注释状态，会导致SESSION_COOKIE_SECURE参数无法正确设置。在Web应用中，Cookie的Secure标志指示浏览器只能通过HTTPS连接发送Cookie，而SameSite属性则控制Cookie在跨站请求中的行为。

技术原理详解

1. Secure标志：当设置为true时，浏览器只会在HTTPS请求中发送该Cookie。在纯HTTP环境下，这会导致Cookie无法正常传输。

2. SameSite属性：控制Cookie是否随跨站请求一起发送，提供了一些防范跨站请求伪造(CSRF)攻击的保护。设置为false表示不限制跨站请求。

3. 默认值问题：InvenTree系统中SESSION_COOKIE_SECURE参数的默认值在没有显式配置时会采用不恰当的设置，导致在HTTP环境下Cookie传输失败。

解决方案

对于未启用SSL/TLS的生产环境，有两种解决方案：

方案一：取消注释并明确设置

修改/etc/inventree/config.yaml文件，取消相关注释并明确设置：

cookie:
  secure: false
  samesite: false

方案二：补丁修复

开发团队已经针对此问题发布了修复补丁，确保在配置项缺失时SESSION_COOKIE_SECURE参数能采用正确的默认值。

最佳实践建议

1. 生产环境强烈建议启用HTTPS：虽然上述解决方案可以解决HTTP环境下的问题，但从安全角度考虑，生产环境应始终使用HTTPS。

2. 配置检查清单：部署InvenTree时，应检查以下配置项：

   • Cookie安全设置与实际的SSL/TLS使用情况匹配
   • 媒体文件权限设置正确
   • 静态文件服务配置无误

3. 测试验证：部署后应测试以下功能：

   • 用户登录会话保持
   • 媒体文件上传下载
   • 图片显示功能
   • 跨页面导航

总结

InvenTree系统在裸金属生产环境部署时，需要特别注意Cookie相关的安全配置。通过正确配置cookie.secure和cookie.samesite参数，可以解决因Cookie传输问题导致的登录状态保持失败和媒体文件访问异常等问题。对于长期稳定的生产环境，建议采用HTTPS加密通信，既能解决配置问题，又能提升系统安全性。