d1bf5ea2df
根因(在 smoke test 中定位):
- Caddy reverse_proxy 默认会覆盖客户端的 X-Forwarded-For 头,
写入它自己识别的 client IP(防伪造)
- uvicorn --forwarded-allow-ips 默认只信任 127.0.0.1,
docker 网络 172.18.0.x 不在白名单
- 结果: api 端读 X-Forwarded-For 时,看到的是 Caddy 替换后的值
(Caddy 识别的真实 client IP),不是客户端伪造的值 — 这其实是正确的!
但 uvicorn 不会用这个值更新 client scope
修法:
- Caddyfile: header_up X-Forwarded-For {remote_host}
显式让 Caddy 把自己识别的 client IP 写入 X-Forwarded-For
- docker-compose api command: 加 --forwarded-allow-ips 172.18.0.0/16
信任 docker 网络(让 uvicorn 采用 X-Forwarded-For 的值)
- api 端 get_client_ip 不变,读 X-Forwarded-For 拿真实 client IP
效果: X-Forwarded-For 在代理链中始终代表真实 client IP,
不再被任何中间件覆盖或丢弃
40 lines
976 B
Caddyfile
40 lines
976 B
Caddyfile
{
|
||
# 全局选项
|
||
auto_https off
|
||
admin off
|
||
log {
|
||
level info
|
||
output stdout
|
||
}
|
||
}
|
||
|
||
# 如果 DOMAIN 为空,直接走 80 端口 HTTP(自签证书后面再补)
|
||
# 如果有域名,改用下面的 https 配置块
|
||
|
||
http://{$DOMAIN:NEWS_DOMAIN_FALLBACK} {
|
||
# /api/* 直接转发,保留路径(后端 FastAPI 路由就是 /api/v1/*)
|
||
reverse_proxy /api/* api:8000 {
|
||
# 把 Caddy 识别的 client IP 写入 X-Forwarded-For(覆盖任何客户端伪造)
|
||
# 后端 uvicorn --forwarded-allow-ips 信任 docker 网络后会用这个值
|
||
header_up X-Forwarded-For {remote_host}
|
||
}
|
||
|
||
# 其余走前<E8B5B0>?SPA
|
||
reverse_proxy /* frontend:80
|
||
|
||
encode gzip zstd
|
||
|
||
# 日志
|
||
log {
|
||
output stdout
|
||
format console
|
||
}
|
||
}
|
||
|
||
# 如果有域名,启用自动 HTTPS(取消下面注释,并把上面块注释)
|
||
# {$DOMAIN} {
|
||
# reverse_proxy /api/* api:8000
|
||
# reverse_proxy /* frontend:80
|
||
# encode gzip zstd
|
||
# }
|