Cheshire Cat AI 项目在 Nginx 反向代理下的 HTTPS 部署问题解析

问题背景

在 Cheshire Cat AI 项目的实际部署过程中，当用户尝试通过 Nginx 反向代理将服务暴露在 HTTPS 协议下时，可能会遇到管理界面连接失败的问题。具体表现为访问 /admin 端点时出现"Something went wrong while connecting to the server"错误提示。

问题现象分析

从日志中可以观察到几个关键现象：

1. 基础页面请求（如 /、/settings.js 等）能够正常返回 200 状态码
2. WebSocket 连接（/ws/user）返回 404 错误
3. 多个 API 端点（如 /embedder/settings/、/llm/settings/ 等）返回 307 重定向状态

根本原因

经过排查，问题主要源于 Nginx 反向代理配置中缺少必要的 HTTP 头设置。具体来说：

1. WebSocket 支持不足：Nginx 默认配置不支持 WebSocket 协议升级，导致 WebSocket 连接失败
2. HTTPS 重定向问题：后端服务检测到 HTTPS 请求但未正确处理反向代理的头信息
3. 协议头缺失：缺少 X-Forwarded-Proto 等关键头信息，导致后端无法正确识别原始请求协议

解决方案

要解决这个问题，需要在 Nginx 配置中添加以下关键配置项：

location / {
    proxy_pass http://localhost:3001;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
}

配置要点解析

1. WebSocket 支持：

   • proxy_http_version 1.1 启用 HTTP/1.1 协议
   • Upgrade 和 Connection 头确保 WebSocket 协议能够正常升级

2. HTTPS 识别：

   • X-Forwarded-Proto 头告知后端实际请求协议
   • Host 头保持原始请求的域名信息

3. 客户端信息传递：

   • X-Real-IP 和 X-Forwarded-For 确保后端能获取真实客户端 IP

部署建议

1. 在 Docker 环境中，确保端口映射正确（如示例中的 3001:80）
2. 检查环境变量 CORE_USE_SECURE_PROTOCOLS 是否设置为 true
3. 验证 SSL 证书配置是否正确，避免混合内容问题
4. 建议在 Nginx 配置中添加适当的缓存控制和超时设置

总结

通过正确配置 Nginx 的反向代理参数，特别是 WebSocket 相关的头信息和 HTTPS 协议识别头，可以解决 Cheshire Cat AI 项目在 HTTPS 环境下的部署问题。这种配置不仅适用于 Cheshire Cat AI，也是大多数 Web 应用和 WebSocket 服务在反向代理环境下的通用解决方案。