Penpot自托管环境登录失败问题分析与解决

问题现象

在Penpot自托管环境中，用户按照官方文档使用Docker方式部署后，创建新用户并尝试登录时遇到失败情况。系统显示登录失败，但未提供具体错误信息。

原因分析

根据技术讨论和类似案例，这类问题通常与以下因素有关：

1. Cookie安全设置：Penpot默认启用了安全Cookie设置，要求使用HTTPS连接。当通过HTTP访问时，浏览器会拒绝设置这些安全Cookie，导致登录状态无法保持。

2. 反向代理配置：当使用反向代理时，如果未正确配置SSL/TLS，或者代理未正确处理WebSocket连接，都可能影响认证流程。

3. 环境变量配置：启动参数中缺少必要的环境变量配置，特别是与安全相关的标志。

解决方案

方案一：启用HTTPS（推荐）

最彻底的解决方案是为Penpot配置SSL证书，启用HTTPS访问。这不仅能解决登录问题，还能提高系统安全性。

1. 获取有效的SSL证书（可以从Let's Encrypt免费获取）
2. 配置反向代理（如Nginx）使用HTTPS
3. 确保所有流量都重定向到HTTPS

方案二：调整安全设置

如果暂时无法配置HTTPS，可以临时调整Penpot的安全设置：

1. 修改前端容器的启动参数，添加：

   PENPOT_PUBLIC_URI=http://your-domain.com
   PENPOT_FLAGS=disable-secure-cookies
   

2. 修改后端容器的启动参数，添加：

   PENPOT_TOKEN_COOKIE_SECURE=false
   PENPOT_TOKEN_COOKIE_SAME_SITE=lax
   

3. 重启所有服务使配置生效

方案三：检查反向代理配置

确保反向代理正确处理了所有必要的路由和WebSocket连接：

1. WebSocket连接必须能够穿透代理
2. 确保代理没有修改或丢弃重要的HTTP头
3. 检查代理日志以排除其他潜在问题

注意事项

1. 在生产环境中，强烈建议使用HTTPS而非禁用安全设置
2. 修改配置后需要完全重启服务才能生效
3. 检查Docker容器的日志可以帮助诊断具体问题
4. 确保所有服务使用相同的主机名配置

总结

Penpot作为设计协作平台，对安全性有较高要求，默认配置会强制使用安全连接。在自托管环境中，管理员需要根据实际网络环境调整安全设置，平衡安全性和可用性。长期解决方案应该是配置完整的HTTPS支持，临时方案仅适用于开发和测试环境。