






















自托管的服务多起来以后,我面临的一个问题是如何在安全性和便利性间进行平衡。为了安全设计,现在大部分密码管理器默认无法自动填充,需要在密码库解锁后,用户再手动点一下确认选择密码登录。
2025 年快要结束了,现在主流桌面设备和移动设备都支持了 Passkeys 通行密钥,并且能到达「好用」的程度。这是一个很安全的现代登录方案,核心理念是「可信任硬件,而非密码」。此外,手头还有几个 Yubikey,我正好也能用上。
Pocket ID + Tinyauth 这套轻量方案,可以把我们的所有自托管服务保护起来,还可以通过设置 Pocket ID 用户和用户组权限,甚至能够满足一些小型组织的按权限登录认证流程。
这套方案适合谁?
Pocket ID 是一个简单的 OIDC 提供程序,支持且仅允许 用户使用 Passkeys 进行身份验证,这意味着使用它在支持自定义 OIDC 供应商的应用中,可以完全无密码登录。
对于不支持自定义 OIDC 单点登录的应用,我们可以使用 Tinyauth 作为身份验证中间件,来调用 Pocket ID 验证。
Tinyauth 是一个简单的 身份验证中间件,支持目前所有的主流代理服务器,比如 Nginx、Caddy 以及 Traefik。可以通过 Google、GitHub、LDAP、Pocket ID……作为提供商,为服务或入口添加易于使用的现代身份验证界面。
特别注意:
不能将 Tinyauth 或 Pocket ID 部署在根域名下,比如 https://your.domain。但两者必须是同一个主域名,且使用不同的子域名,才能让 Cookie 正确传递。
为了便于理解(但不一定准确),我画了一副简单的身份验证图:

防止概念混淆,需要再次声明一下,无论是 Pocket ID 还是 Tinyauth 都是可以独立使用的,两者并非是完全绑定的选择。
本文中我们将使用 Docker 部署这两个应用,并通过 两个典型示例 来帮助我们了解这个过程:
新建 Compose 模板:
services:
pocket-id:
image: ghcr.io/pocket-id/pocket-id:v2
restart: unless-stopped
env_file: .env
ports:
- 127.0.0.1:1411:1411
volumes:
- "./data:/app/data"
healthcheck:
test: [ "CMD", "/app/pocket-id", "healthcheck" ]
interval: 1m30s
timeout: 5s
retries: 2
start_period: 10s
编辑环境变量文件 .env
APP_URL=https://pocketid.your.domain
# Generate with: openssl rand -base64 32
ENCRYPTION_KEY=
# These variables are optional but recommended to review:
TRUST_PROXY=true
MAXMIND_LICENSE_KEY=
GEOLITE_DB_PATH=data/GeoLite2-City.mmdb
PUID=1000
PGID=1000
LOG_LEVEL=info
LOG_JSON=true
ANALYTICS_DISABLED=true
# After initial registration, set it to disabled or withToken
# and recreate the container. sudo docker compose up -d
ALLOW_USER_SIGNUPS=open
启动服务
sudo docker compose up -d
Pocket ID 的 Nginx 反向代理配置示例如下(经过测试,请勿添加 CSP 策略的标头,详情见注释)
server {
listen 80;
listen [::]:80;
server_name pocketid.your.domain;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
http2 on;
server_name pocketid.your.domain;
ssl_certificate /path/to/cert/pocketid.your.domain.pem;
ssl_certificate_key /path/to/cert/pocketid.your.domain.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256';
ssl_prefer_server_ciphers off;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
access_log /var/log/nginx/pocketid.your.domain.access.log;
error_log /var/log/nginx/pocketid.your.domain.error.log;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
# no need CSP header in nginx, refer to: https://github.com/pocket-id/pocket-id/pull/908
proxy_busy_buffers_size 512k;
proxy_buffers 4 512k;
proxy_buffer_size 256k;
location / {
proxy_pass http://127.0.0.1:1411;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $realip_remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
重载 Nginx 配置
sudo nginx -t
# ok! then
sudo nginx -s reload
访问 https://pocketid.your.domain/setup 进行初始账户注册


这是个可选项,但是建议将各种登录方式和用户组分开管理,并对用户进行组授权

建议设置 SMTP 发信配置,通过电子邮件获取一次性登录码以及登录通知和警告等等。

以 Blinko 为例,Blinko 原生支持自定义 OIDC 身份验证,在设置里添加 SSO 登录

复制回调 URL 备用

在 Pocket ID 添加 OIDC 客户端,保存后会获取客户端机密等信息,填入 Blinko 的 SSO 设置里保存即可。

退出当前的 Blinko 账号,测试登录

成功登录

别忘了关联已有的 Blinko 账号

测试完毕,关闭 Pocket ID 的开放注册

修改 Compose 模板:
services:
tinyauth:
image: ghcr.io/steveiliop56/tinyauth:v4
container_name: tinyauth
restart: unless-stopped
ports:
- "127.0.0.1:3000:3000"
environment:
- APP_URL=https://tinyauth.your.domain
- USERS=
- DISABLE_ANALYTICS=true
- LOG_JSON=true
- SECURE_COOKIE=true
volumes:
- ./data:/data
healthcheck:
test: ["CMD", "tinyauth", "healthcheck"]
interval: 30s
timeout: 5s
start_period: 5s
retries: 3
初始化用户
sudo docker run -i -t --rm ghcr.io/steveiliop56/tinyauth:v4 user create --interactive
在交互式 CLI 中输入用户名、密码、选择 Docker 格式的 Hash 回车

上面的输出示例
2025-12-08T02:44:51Z INF cmd/create.go:85 > Creating user username=UserName
2025-12-08T02:44:51Z INF cmd/create.go:98 > User created user=UserName:$$2a$$10$$mUJp8jg5t0AxIC5jWD/JqOI2NBJAZqJjBNxkXIv.BtubpJU958ovG
将获取到的用户名和密码 Hash 复制到环境变量 USERS 里,然后启动服务
sudo docker compose up -d
示例 Nginx 反向代理配置
server {
listen 80;
listen [::]:80;
server_name tinyauth.your.domain;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
http2 on;
server_name tinyauth.your.domain;
ssl_certificate /path/to/cert/tinyauth.your.domain.pem;
ssl_certificate_key /path/to/cert/tinyauth.your.domain.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256';
ssl_prefer_server_ciphers off;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
access_log /var/log/nginx/tinyauth.your.domain.access.log;
error_log /var/log/nginx/tinyauth.your.domain.error.log;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-eval';" always;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $realip_remote_addr;
location / {
proxy_pass http://127.0.0.1:3000;
proxy_http_version 1.1;
}
}
重载 Nginx 配置
sudo nginx -t
# ok! then
sudo nginx -s reload
参考 Tinyauth 文档 的步骤完成与 Pocket ID OAuth 应用的注册,在 Tinyauth 的容器模板里添加环境变量
services:
tinyauth:
# ...
# ...
environment:
- PROVIDERS_POCKETID_CLIENT_ID=your-pocket-id-client-id
- PROVIDERS_POCKETID_CLIENT_SECRET=your-pocket-id-client-secret
- PROVIDERS_POCKETID_AUTH_URL=https://pocketid.your.domain/authorize
- PROVIDERS_POCKETID_TOKEN_URL=https://pocketid.your.domain/api/oidc/token
- PROVIDERS_POCKETID_USER_INFO_URL=https://pocketid.your.domain/api/oidc/userinfo
- PROVIDERS_POCKETID_REDIRECT_URL=https://tinyauth.example.com/api/oauth/callback/pocketid
- PROVIDERS_POCKETID_SCOPES=openid email profile groups
- PROVIDERS_POCKETID_NAME=Pocket ID
现在就可以享受用 Pocket ID 登录 Tinyauth 的身份验证服务了。
对于不支持自定义 OIDC 客户端的应用,可以通过 Tinyauth 作为中间件的验证方式,来调用 Pocket ID 作为登录方式。
这里是个在Nginx 反向代理的背景下,使用 Tinyauth + Pocket ID 保护 Uptime Kuma 仪表盘路由的示例。
简化的 Uptime Kuma 的原始 Nginx 反向代理配置文件,看起来像这样
server {
# ...
# Reverse Proxy Configuration Start
# ...
location / {
proxy_pass http://127.0.0.1:13000/;
# ...
# Reverse Proxy Configuration End
# ...
}
}
对于想完全保护访问的应用,直接
/根路由交给 Tinyauth 鉴权即可。
假如我们只想保护 Uptime Kuma 后台仪表盘 /dashboard,而不影响状态页面。使用 Tinyauth 作为 / 根路由的中间件似乎不太合适,那么只需添加 Tinyauth 的中间件验证片段。
server {
# ...
# Reverse Proxy Configuration Start
# ...
location /dashboard {
proxy_pass http://127.0.0.1:13000/dashboard;
auth_request /tinyauth;
error_page 401 = @tinyauth_login;
}
location /tinyauth {
proxy_pass http://127.0.0.1:3000/api/auth/nginx;
proxy_set_header x-forwarded-proto $scheme;
proxy_set_header x-forwarded-host $http_host;
proxy_set_header x-forwarded-uri $request_uri;
}
location @tinyauth_login {
return 302 https://auth.via.moe/login?redirect_uri=$scheme://$http_host$request_uri;
}
location / {
proxy_pass http://127.0.0.1:3001/;
# ...
# Reverse Proxy Configuration End
# ...
}
}
完成后,检查并重载 Nginx 配置
sudo nginx -t
sudo nginx -s reload
测试登录:
现在访问你的应用仪表盘,应当会被重定向到 Tinyauth 要求验证

完成,请享受吧~
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。