Authentik与Jellyfin集成中的HTTPS重定向问题解决方案

在将Authentik与Jellyfin进行OIDC集成时，开发者可能会遇到一个常见的协议转换问题：Authentik错误地将HTTPS重定向URI替换为HTTP。这个问题通常会导致认证流程中断，用户无法正常登录。

问题现象

当配置完成Authentik作为Jellyfin的OIDC提供商后，用户在尝试登录时会收到重定向URI不匹配的错误。具体表现为：

• 浏览器地址栏显示的重定向URI从预期的HTTPS变成了HTTP
• 认证流程无法完成，用户被卡在登录环节

根本原因分析

这个问题通常源于以下两个技术层面的原因：

1. 反向代理配置不当：当使用Nginx、Traefik等反向代理时，如果没有正确设置转发头信息（特别是X-Forwarded-Proto），后端服务无法识别原始请求是通过HTTPS发起的。

2. OIDC协议处理机制：Authentik在生成重定向URI时，默认会使用它从反向代理接收到的协议信息。如果反向代理没有正确传递HTTPS信息，Authentik就会错误地使用HTTP。

解决方案

方案一：完善反向代理配置

对于使用Traefik的用户，需要确保配置中包含以下关键元素：

middlewares:
  add-forward-headers:
    headers:
      customRequestHeaders:
        X-Forwarded-Proto: "https"
        X-Forwarded-Protocol: "https"
        X-Forwarded-Host: "your.domain.com"

这个配置确保所有经过反向代理的请求都能正确传递协议信息。

方案二：Jellyfin OIDC插件设置

如果反向代理配置调整后问题仍然存在，可以直接在Jellyfin的OIDC插件中进行协议覆盖：

1. 进入Jellyfin管理界面
2. 导航到认证设置中的OIDC配置部分
3. 找到"Scheme override"选项
4. 将其设置为"https"

这个设置会强制Jellyfin在所有OIDC相关操作中使用HTTPS协议，绕过协议自动检测可能带来的问题。

最佳实践建议

1. 双重保障：建议同时实施反向代理的正确配置和Jellyfin的Scheme覆盖设置，确保系统在各种环境下都能正常工作。

2. 测试验证：在修改配置后，使用浏览器的开发者工具检查网络请求，确认重定向URI确实保持了HTTPS协议。

3. 安全考虑：确保所有认证流程都通过HTTPS进行，这是保护用户凭证安全的基本要求。

通过以上解决方案，开发者可以顺利解决Authentik与Jellyfin集成中的协议转换问题，实现安全可靠的单点登录体验。