FreshRSS API连接问题排查指南：NGINX反向代理环境下的解决方案

问题背景

在使用Docker部署的FreshRSS服务中，当通过NGINX反向代理暴露到公网时，用户遇到了API连接失败的问题。具体表现为：网页端访问正常，但移动端应用(FeedMe)无法通过API进行认证，返回"Authentication error or expired"错误。

环境配置分析

从技术描述来看，部署架构包含以下关键组件：

1. 使用官方Docker镜像freshrss/freshrss:latest
2. 搭配PostgreSQL数据库容器
3. 通过NGINX Proxy Manager进行反向代理
4. 使用第三方CDN和DNS服务

核心问题诊断

1. API认证失败的根本原因

从日志分析，主要问题出在HTTP头信息传递不完整。NGINX默认配置下可能不会转发Authorization头，这是API认证的关键信息。当请求经过反向代理时，认证信息被丢弃，导致后端服务无法验证用户身份。

2. 配置验证问题

config.php中的base_url设置与实际情况不匹配，出现了"Probable invalid base URL"警告。这表明反向代理配置与FreshRSS自身配置之间存在不一致。

解决方案

1. NGINX代理配置调整

需要在NGINX配置中显式添加以下指令，确保关键头信息被传递：

proxy_set_header Authorization $http_authorization;
proxy_pass_header Authorization;

如果是使用NGINX Proxy Manager，需要在"Advanced"选项卡中添加自定义配置。

2. FreshRSS基础URL修正

确保data/config.php中的配置与实际情况一致：

• 检查base_url是否设置为实际访问的HTTPS地址
• 确认协议(HTTP/HTTPS)与反向代理配置匹配

3. 调试建议

对于API问题，建议使用cURL进行逐步测试：

curl -v -u "用户名:API密码" https://rss.example.com/api/greader.php/accounts/ClientLogin

这个命令可以：

1. 验证基础认证是否工作
2. 显示完整的请求/响应头信息
3. 帮助定位问题发生在哪个环节

进阶排查技巧

1. 日志级别提升：虽然环境已设置为development，但可能需要检查Docker日志输出限制或文件权限问题

2. 网络路径测试：

   • 直接访问容器端口(绕过代理)测试API
   • 比较代理前后请求的差异

3. CDN配置检查：第三方CDN可能修改或过滤某些头信息，需要确认安全级别设置

最佳实践建议

1. 协议一致性：确保整个链路(客户端→CDN→代理→服务)使用相同的HTTP协议

2. 头信息完整性：除了Authorization头，还应该传递以下关键头信息：

   • Host
   • X-Forwarded-Proto
   • X-Real-IP

3. API测试流程：实现新部署时，建议先通过命令行工具验证API可用性，再集成到客户端应用

通过以上步骤的系统性排查和修正，应该能够解决FreshRSS在反向代理环境下的API连接问题，实现移动应用的正常接入。