Zammad移动端访问问题分析与解决方案：基础认证拦截导致的GraphQL请求失败

问题背景

在使用Zammad客服系统时，当系统部署在带有基础认证(Basic Auth)的Nginx反向代理后方时，移动设备浏览器会出现无法正常加载登录界面的现象。具体表现为：用户输入基础认证凭据后，页面停留在加载状态，无法跳转到Zammad的登录界面。而桌面浏览器在相同配置下却能正常工作。

技术现象分析

通过日志分析发现，移动端访问时会出现以下关键请求序列：

1. 成功获取/mobile/路径的页面资源（HTTP 200）
2. 随后发往/graphql端点的POST请求被拒绝（HTTP 401）

而桌面端访问时则不会触发GraphQL接口的调用。深入分析表明，这是由于移动端检测机制与基础认证机制产生了冲突：

1. 移动设备访问时会被自动重定向到/mobile路径
2. 移动端界面会立即尝试调用GraphQL接口进行初始化
3. 基础认证的Authorization头信息被错误地传递到了后端应用
4. 导致Zammad应用层错误地拒绝了这些请求

根本原因

问题核心在于Nginx代理的配置处理不当。当启用基础认证时，Nginx默认会将Authorization头信息传递给后端服务。而Zammad移动端在初始化时会：

1. 检测到基础认证的Authorization头
2. 错误地将其视为API认证凭据
3. 导致认证失败和界面加载中断

解决方案

经过技术验证，最有效的解决方案是在Nginx配置中添加以下指令：

location / {
    # 移除代理请求中的Authorization头
    proxy_set_header Authorization "";
    # 其他代理配置...
}

这一配置确保了：

1. 基础认证仅在Nginx层面处理
2. 认证后的请求不会再携带Authorization头到后端
3. Zammad应用能正常接收请求并响应

实施建议

对于生产环境部署，建议：

1. 在初始设置阶段使用桌面浏览器完成系统配置
2. 配置完成后，再通过移动设备进行访问测试
3. 对于已经配置的系统，直接应用上述Nginx修改即可
4. 修改后需要重载Nginx服务使配置生效

技术延伸

这种问题不仅限于Zammad系统，任何前后端分离的Web应用在基础认证保护下都可能遇到类似问题。其核心教训是：

1. 反向代理的基础认证应与应用层认证明确分离
2. 敏感头信息在代理层需要谨慎处理
3. 移动端检测机制应考虑系统初始化状态

通过这种配置优化，可以确保Zammad系统在各种终端设备上都能提供一致的用户体验，同时保持基础认证提供的安全保护。