Logto项目Docker部署中的公共网络IP访问问题解析

问题背景

在使用Docker Compose部署Logto身份认证系统时，许多开发者遇到了一个常见问题：当通过公网IP访问部署好的Logto服务时，系统会自动重定向到localhost地址，而不是预期的公网IP地址。这种现象会导致用户无法正常访问系统，影响实际使用体验。

问题现象

具体表现为：

1. 用户通过公网IP访问Logto服务（如http://public_ip:3011）
2. 系统自动重定向到http://localhost:3010/unknown-session
3. 用户无法正常进入登录页面

根本原因分析

这个问题主要源于Logto服务的端点(Endpoint)配置。当Logto在Docker容器中运行时，默认情况下它会使用容器内部的网络配置，包括端口和主机名。如果没有正确配置外部访问的端点信息，系统就会默认使用localhost作为重定向目标。

解决方案

1. 环境变量配置

在docker-compose.yml文件中，必须明确设置以下关键环境变量：

environment:
  - ENDPOINT=http://your_public_ip:3010
  - ADMIN_ENDPOINT=http://your_public_ip:3011
  - PORT=3010
  - ADMIN_PORT=3011
  - TRUST_PROXY_HEADER=1

这些配置告诉Logto系统：

• ENDPOINT：核心服务的公共访问地址
• ADMIN_ENDPOINT：管理界面的公共访问地址
• PORT/ADMIN_PORT：容器内部使用的端口（必须与映射端口一致）
• TRUST_PROXY_HEADER：信任代理头信息

2. 端口映射一致性

确保Docker端口映射与内部端口一致：

ports:
  - 3010:3010  # 外部端口:内部端口
  - 3011:3011

这种1:1的端口映射可以避免许多重定向问题。

3. 反向代理配置

如果使用Nginx或Caddy等反向代理，需要额外注意：

environment:
  - ENDPOINT=https://your_public_domain
  - ADMIN_ENDPOINT=https://admin.your_public_domain
  - NODE_TLS_REJECT_UNAUTHORIZED=0  # 仅限开发环境使用

同时，在反向代理配置中需要：

• 正确处理WebSocket连接
• 转发原始主机头和协议信息
• 配置SSL证书（生产环境必须）

最佳实践建议

1. 环境分离：为开发、测试和生产环境使用不同的配置
2. 域名使用：生产环境尽量使用域名而非IP地址
3. 安全配置：
   • 生产环境必须启用HTTPS
   • 限制管理界面的访问IP
   • 定期更新Docker镜像
4. 日志监控：配置日志收集和分析，便于排查问题

总结

Logto在Docker环境中的部署问题主要源于端点配置不当。通过正确设置环境变量、保持端口映射一致性以及合理配置反向代理，可以彻底解决公网IP访问重定向到localhost的问题。对于生产环境，建议结合域名和HTTPS使用，既提升安全性也避免潜在的配置问题。