Tinyauth项目实现容器域名与访问控制解耦的技术方案

在现代容器化部署环境中，应用服务通常通过反向代理（如Traefik）对外暴露，而Coolify等平台会自动为容器生成包含UUID的唯一名称。这导致了一个典型问题：用户希望使用简洁的域名（如app.example.com）访问服务，但容器内部标识却是复杂的带UUID名称（如app-uuid），这种不一致性会影响基于容器名的访问控制机制。

Tinyauth作为轻量级认证服务，最新版本通过引入域名标签机制解决了这一痛点。技术实现上，现在可以在容器部署时添加tinyauth.domain标签显式指定对外服务域名。当请求到达时，Tinyauth会执行以下关键步骤：

1. 从X-Forwarded-Host请求头获取原始访问域名
2. 自动剥离端口号等非必要信息
3. 优先匹配标签声明的完整域名，若未找到则回退到传统子域名匹配逻辑

这种设计带来了三大技术优势：

• 部署灵活性：允许运维人员自由定义对外服务域名，不受底层容器命名规则限制
• 向后兼容：既支持新式域名标签，也保留原有子域名匹配机制
• 安全无损：认证流程依然基于容器唯一标识，只是增加了间接映射层

对于使用Coolify+Traefik组合的用户，现在可以通过以下示例配置实现优雅解耦：

labels:
  - tinyauth.domain=app.example.com
  - tinyauth.oauth.groups=admin

该方案特别适合需要对外暴露友好域名的大型微服务架构，既保持了访问控制的精确性，又满足了用户体验需求。技术团队在实现时特别注意了性能优化，采用两级缓存机制确保域名解析不会成为系统瓶颈。