惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
CXSECURITY Database RSS Feed - CXSecurity.com
L
LINUX DO - 热门话题
S
Secure Thoughts
TaoSecurity Blog
TaoSecurity Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
T
Threat Research - Cisco Blogs
AI
AI
B
Blog RSS Feed
S
Schneier on Security
雷峰网
雷峰网
Schneier on Security
Schneier on Security
Help Net Security
Help Net Security
Cloudbric
Cloudbric
L
LINUX DO - 最新话题
罗磊的独立博客
有赞技术团队
有赞技术团队
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Apple Machine Learning Research
Apple Machine Learning Research
P
Proofpoint News Feed
酷 壳 – CoolShell
酷 壳 – CoolShell
The Hacker News
The Hacker News
博客园 - Franky
Attack and Defense Labs
Attack and Defense Labs
The Cloudflare Blog
Webroot Blog
Webroot Blog
Last Week in AI
Last Week in AI
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
博客园 - 叶小钗
美团技术团队
L
Lohrmann on Cybersecurity
T
The Blog of Author Tim Ferriss
The Last Watchdog
The Last Watchdog
T
Troy Hunt's Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Vercel News
Vercel News
Know Your Adversary
Know Your Adversary
O
OpenAI News
博客园 - 【当耐特】
Hacker News - Newest:
Hacker News - Newest: "LLM"
C
Cybersecurity and Infrastructure Security Agency CISA
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
www.infosecurity-magazine.com
www.infosecurity-magazine.com
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
PCI Perspectives
PCI Perspectives
H
Heimdal Security Blog
I
InfoQ
GbyAI
GbyAI
T
Threatpost
C
Cisco Blogs

Dejavu's Blog

甲骨文 ARM 实例部署 Gemma 4 模型 Headscale + Tailscale 组建虚拟专用网 在 Linux 上使用 Yubikey OpenPGP 应用 BuyVM VPS 块存储挂载教程 Alpine Linux 服务器配置指南 Alpine Linux 安装 Cloudflared Docker 多容器共享中心数据库 安装 Komari 服务器监控工具 Scaleway VPS 安装 Debian Linux Debian 13 下部署 AsmBB 论坛 使用 Kopia 自动化备份服务器数据 给 Docker 启用 IPv6 支持 Netcup 服务器安装自定义 ISO 镜像 烽火 HG5582A 光猫开启桥接模式 Docker 自托管 Shlink 短链服务 部署 Obsidian LiveSync 实时同步服务指南 我的 2025 年不完全回顾 Linux 下 Intel 核显驱动配置与硬件加速 Fedora Linux 安装配置记录 2025 年优雅地自托管 RSS 服务 Woodpecker CI 和 Gitea 实现 Hugo 自动部署 Gitea/Forgejo 集成 Woodpecker CI/CD 在 Blinko 中使用 Ollama 作为 AI 供应商 Docker 部署 Gitea/Forgejo Plausible CE 启用城市级地理位置识别 Blinko 开源 AI 知识库 Docker 部署指南 Netcup 免税账号注册及购买服务器全记录 Docker 自托管 Cloudreve Pro 私有网盘服务 GiffGaff SIM 卡使用体验和注意事项 简体中文互联网在变得糟糕吗? 如何低成本申请 S/MIME 证书用于个人邮件服务 迁移到 NameCrane Mail 域名邮箱套件服务 香烟与咖啡 在 Windows 中使用 Yubikey 的 OpenPGP 应用 Windows 11 IoT LTSC 养老指南 巧用浏览器生成 HAR 文件批量下载所需网页资源 聊聊静态网站的评论系统 在 Hugo 站点中优雅地展示实况照片 使用 snac 部署一个简洁优雅的 ActivityPub 实例 当 25 岁来临的时候 断网的这两年 从 Bitwarden/Vaultwarden 到 KeePassXC 也许是 Android 上最好的本地播放器 - 椒盐音乐 2023 半年小结 写一个好玩的 Hugo 货币汇率转换短代码 写一个 Hugo 短代码将不同类别的总字数统计转换为书名显示 海信 Touch Lite 墨水屏音乐阅读器的简单体验 从 Debian 11(bullseye) 无感升级到 Debian 12(bookworm) 使用 GitHub Actions 自动提交 URL 到 IndexNow 批量重写 Git 历史提交记录 使用 cgit 托管小小的也很可爱的 Git 服务器 在 Debian 上使用 stagit 和 Nginx 的简单 Git 服务器 托管简单 Git 服务器的一些尝试 使用 stagit 自托管纯静态 Git 存储库 使用 Docker 快速部署单人 Fediverse 实例 我是如何建立自己的个人博客的? 简单、隐私友好的谷歌分析替代品,Plausible 自托管部署指南 服务器使用 Cloudflare CDN 的最佳实践 甲骨文服务器分配并启用 IPv6 地址 Git 版本控制学习笔记(二) Cloudflare WAF 防护策略简易指南 Mastodon 服务器批量导入自定义表情 低成本自托管 Mastodon 实例简明指南 自托管服务指南──有了服务器可以做什么? 使用 Miniflux + RSSHub 打造个人 RSS 阅读器 构建支持多种 CPU 架构的 Docker 镜像 一个可自托管的静态短链接应用 别了,二〇二二! Duplicacy CLI 进阶使用指南 Duplicacy CLI 备份工具的基本使用 初探 Cloudflare 零信任 - 通过 Docker 部署 Bitwarden 密码管理器 Yubikey 转运日志及上手指南 初探 Cloudflare 零信任 — 通过 Cloudflare Tunnel 搭建 SSH 聊天室 初探 Cloudflare 零信任 - 通过 Cloudflare Tunnel 访问服务 某科学的 PGP 算号指南 2022 年的 MacBook Air M1 使用体验及应用推荐 使用 Vercel 和 Supabase 自托管 Cusdis 评论系统 为什么你的搜索引擎不好用? 个人在 Windows 上常用软件清单 macOS 基础开发环境设置指南 在 macOS 上使用 Canokey 的 OpenPGP 应用 提取 Windows UWP 应用商店的安装包以供离线安装 Git 版本控制学习笔记(一) 使用 Notion 管理 GitHub Star 项目 使用 Vercel 免费部署 Giscus 评论系统 将博客评论从 Utterances 无缝迁移到 Giscus Canokey 签名和认证应用指南 Canokey 的基本使用指南 Canokey Pigeon 揽件日志及简单开箱 关于 Google Play 保护机制和 DRM 安全等级的那些事 记录一次捡垃圾装机 GitHub 使用 GPG 密钥提交签名认证 使用 Scoop 管理 Windows 下的软件和开发环境 Windows Terminal+PowerShell 7 打造 Windows 下最好用的终端 一个好用的 Telegram 文件批量上传/下载工具 Clash for Windows 优雅地使用 TUN 模式接管系统流量 全平台搭建 Hexo 静态博客指南 尝试将 Manjaro 作为主力操作系统使用 Hexo 进行 SEO 优化的基本指南 使用本地代理给 Git 和 NPM 加速
自托管部署 Pocket ID 与 Tinyauth 完全指南
Dejavu Moe · 2025-12-08 · via Dejavu's Blog

前言

自托管的服务多起来以后,我面临的一个问题是如何在安全性和便利性间进行平衡。为了安全设计,现在大部分密码管理器默认无法自动填充,需要在密码库解锁后,用户再手动点一下确认选择密码登录。

2025 年快要结束了,现在主流桌面设备和移动设备都支持了 Passkeys 通行密钥,并且能到达「好用」的程度。这是一个很安全的现代登录方案,核心理念是「可信任硬件,而非密码」。此外,手头还有几个 Yubikey,我正好也能用上。

Pocket ID + Tinyauth 这套轻量方案,可以把我们的所有自托管服务保护起来,还可以通过设置 Pocket ID 用户和用户组权限,甚至能够满足一些小型组织的按权限登录认证流程。

这套方案适合谁?

  • 拥有很多自托管服务的个人爱好者
  • 需要一个身份验证安全件的 HomeLab
  • 私有托管架构的小型组织或企业

Pocket ID

Pocket ID 是一个简单的 OIDC 提供程序支持且仅允许 用户使用 Passkeys 进行身份验证,这意味着使用它在支持自定义 OIDC 供应商的应用中,可以完全无密码登录。

对于不支持自定义 OIDC 单点登录的应用,我们可以使用 Tinyauth 作为身份验证中间件,来调用 Pocket ID 验证。

Tinyauth

Tinyauth 是一个简单的 身份验证中间件,支持目前所有的主流代理服务器,比如 Nginx、Caddy 以及 Traefik。可以通过 Google、GitHub、LDAP、Pocket ID……作为提供商,为服务或入口添加易于使用的现代身份验证界面。

特别注意:

不能将 Tinyauth 或 Pocket ID 部署在根域名下,比如 https://your.domain。但两者必须是同一个主域名,且使用不同的子域名,才能让 Cookie 正确传递。

为了便于理解(但不一定准确),我画了一副简单的身份验证图:

how-it-work.webp

防止概念混淆,需要再次声明一下,无论是 Pocket ID 还是 Tinyauth 都是可以独立使用的,两者并非是完全绑定的选择。

本文中我们将使用 Docker 部署这两个应用,并通过 两个典型示例 来帮助我们了解这个过程:

  1. 在支持 OIDC 的应用中直接使用 Pocket ID 作为供应商
  2. 使用 Tinyauth 在 Nginx 虚拟主机中设置中间件认证

Docker 部署 Pocket ID

新建 Compose 模板:

services:
  pocket-id:
    image: ghcr.io/pocket-id/pocket-id:v2
    restart: unless-stopped
    env_file: .env
    ports:
      - 127.0.0.1:1411:1411
    volumes:
      - "./data:/app/data"
    healthcheck:
      test: [ "CMD", "/app/pocket-id", "healthcheck" ]
      interval: 1m30s
      timeout: 5s
      retries: 2
      start_period: 10s

编辑环境变量文件 .env

APP_URL=https://pocketid.your.domain

# Generate with: openssl rand -base64 32
ENCRYPTION_KEY=

# These variables are optional but recommended to review:
TRUST_PROXY=true
MAXMIND_LICENSE_KEY=
GEOLITE_DB_PATH=data/GeoLite2-City.mmdb
PUID=1000
PGID=1000
LOG_LEVEL=info
LOG_JSON=true
ANALYTICS_DISABLED=true
# After initial registration, set it to disabled or withToken
# and recreate the container. sudo docker compose up -d
ALLOW_USER_SIGNUPS=open

启动服务

sudo docker compose up -d

Nginx 反向代理

Pocket ID 的 Nginx 反向代理配置示例如下(经过测试,请勿添加 CSP 策略的标头,详情见注释)

server {
    listen 80;
    listen [::]:80;
    server_name pocketid.your.domain;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;
    server_name pocketid.your.domain;

    ssl_certificate /path/to/cert/pocketid.your.domain.pem;
    ssl_certificate_key /path/to/cert/pocketid.your.domain.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ecdh_curve X25519:P-256:P-384;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256';
    ssl_prefer_server_ciphers off;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    access_log /var/log/nginx/pocketid.your.domain.access.log;
    error_log /var/log/nginx/pocketid.your.domain.error.log;

    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Referrer-Policy "no-referrer-when-downgrade" always;
    # no need CSP header in nginx, refer to: https://github.com/pocket-id/pocket-id/pull/908 
    proxy_busy_buffers_size 512k;
    proxy_buffers 4 512k;
    proxy_buffer_size 256k;

    location / {
        proxy_pass http://127.0.0.1:1411;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $realip_remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

重载 Nginx 配置

sudo nginx -t
# ok! then
sudo nginx -s reload

注册管理员

访问 https://pocketid.your.domain/setup 进行初始账户注册

sign-up-pocket-id.webp

注册通行密钥

add-passkeys.webp

用户和用户组 [可选]

这是个可选项,但是建议将各种登录方式和用户组分开管理,并对用户进行组授权

create-group.webp

设置 SMTP [可选]

建议设置 SMTP 发信配置,通过电子邮件获取一次性登录码以及登录通知和警告等等。

smtp.webp

注册 OIDC 客户端

Blinko 为例,Blinko 原生支持自定义 OIDC 身份验证,在设置里添加 SSO 登录

blinko-sso.webp

复制回调 URL 备用

blinko-sso-setup.webp

在 Pocket ID 添加 OIDC 客户端,保存后会获取客户端机密等信息,填入 Blinko 的 SSO 设置里保存即可。

get-sso-config.webp

退出当前的 Blinko 账号,测试登录

test-login.webp

成功登录

login-with-passkeys.webp

别忘了关联已有的 Blinko 账号

asign-account.webp

关闭注册

测试完毕,关闭 Pocket ID 的开放注册

pocketid-disallow-signup.webp

Tinyauth 安装配置

Docker 部署 Tinyauth

修改 Compose 模板:

services:
  tinyauth:
    image: ghcr.io/steveiliop56/tinyauth:v4
    container_name: tinyauth
    restart: unless-stopped
    ports:
      - "127.0.0.1:3000:3000"
    environment:
      - APP_URL=https://tinyauth.your.domain
      - USERS=
      - DISABLE_ANALYTICS=true
      - LOG_JSON=true
      - SECURE_COOKIE=true
    volumes:
      - ./data:/data
    healthcheck:
      test: ["CMD", "tinyauth", "healthcheck"]
      interval: 30s
      timeout: 5s
      start_period: 5s
      retries: 3

初始化用户

sudo docker run -i -t --rm ghcr.io/steveiliop56/tinyauth:v4 user create --interactive

在交互式 CLI 中输入用户名、密码、选择 Docker 格式的 Hash 回车

create-user.webp

上面的输出示例

2025-12-08T02:44:51Z INF cmd/create.go:85 > Creating user username=UserName
2025-12-08T02:44:51Z INF cmd/create.go:98 > User created user=UserName:$$2a$$10$$mUJp8jg5t0AxIC5jWD/JqOI2NBJAZqJjBNxkXIv.BtubpJU958ovG

将获取到的用户名和密码 Hash 复制到环境变量 USERS 里,然后启动服务

sudo docker compose up -d

Nginx 反向代理

示例 Nginx 反向代理配置

server {
    listen 80;
    listen [::]:80;
    server_name tinyauth.your.domain;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;
    server_name tinyauth.your.domain;

    ssl_certificate /path/to/cert/tinyauth.your.domain.pem;
    ssl_certificate_key /path/to/cert/tinyauth.your.domain.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ecdh_curve X25519:P-256:P-384;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256';
    ssl_prefer_server_ciphers off;

    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    access_log /var/log/nginx/tinyauth.your.domain.access.log;
    error_log /var/log/nginx/tinyauth.your.domain.error.log;

    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Referrer-Policy "no-referrer-when-downgrade" always;
    add_header Content-Security-Policy "default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-eval';" always;

    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-For $realip_remote_addr;

    location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_http_version 1.1;
    }
}

重载 Nginx 配置

sudo nginx -t
# ok! then
sudo nginx -s reload

连接 Pocket ID 服务

参考 Tinyauth 文档 的步骤完成与 Pocket ID OAuth 应用的注册,在 Tinyauth 的容器模板里添加环境变量

services:
  tinyauth:
  # ...
  # ...
    environment:
      - PROVIDERS_POCKETID_CLIENT_ID=your-pocket-id-client-id
      - PROVIDERS_POCKETID_CLIENT_SECRET=your-pocket-id-client-secret
      - PROVIDERS_POCKETID_AUTH_URL=https://pocketid.your.domain/authorize
      - PROVIDERS_POCKETID_TOKEN_URL=https://pocketid.your.domain/api/oidc/token
      - PROVIDERS_POCKETID_USER_INFO_URL=https://pocketid.your.domain/api/oidc/userinfo
      - PROVIDERS_POCKETID_REDIRECT_URL=https://tinyauth.example.com/api/oauth/callback/pocketid
      - PROVIDERS_POCKETID_SCOPES=openid email profile groups
      - PROVIDERS_POCKETID_NAME=Pocket ID

现在就可以享受用 Pocket ID 登录 Tinyauth 的身份验证服务了。

联合身份验证

对于不支持自定义 OIDC 客户端的应用,可以通过 Tinyauth 作为中间件的验证方式,来调用 Pocket ID 作为登录方式。

这里是个在Nginx 反向代理的背景下,使用 Tinyauth + Pocket ID 保护 Uptime Kuma 仪表盘路由的示例。

简化的 Uptime Kuma 的原始 Nginx 反向代理配置文件,看起来像这样

server {
    # ...
    # Reverse Proxy Configuration Start
    # ...
    location / {
        proxy_pass http://127.0.0.1:13000/;
    # ...
    # Reverse Proxy Configuration End
    # ...

    }
}

对于想完全保护访问的应用,直接 / 根路由交给 Tinyauth 鉴权即可。

假如我们只想保护 Uptime Kuma 后台仪表盘 /dashboard,而不影响状态页面。使用 Tinyauth 作为 / 根路由的中间件似乎不太合适,那么只需添加 Tinyauth 的中间件验证片段。

server {
    # ...
    # Reverse Proxy Configuration Start
    # ...
    location /dashboard {
    proxy_pass http://127.0.0.1:13000/dashboard;
        auth_request /tinyauth;
        error_page 401 = @tinyauth_login;
    }
    location /tinyauth {
        proxy_pass http://127.0.0.1:3000/api/auth/nginx;
        proxy_set_header x-forwarded-proto $scheme;
        proxy_set_header x-forwarded-host $http_host;
        proxy_set_header x-forwarded-uri $request_uri;
}

    location @tinyauth_login {
        return 302 https://auth.via.moe/login?redirect_uri=$scheme://$http_host$request_uri;
}
    location / {
        proxy_pass http://127.0.0.1:3001/;
    # ...
    # Reverse Proxy Configuration End
    # ...
    }
}

完成后,检查并重载 Nginx 配置

sudo nginx -t 
sudo nginx -s reload

测试登录:

现在访问你的应用仪表盘,应当会被重定向到 Tinyauth 要求验证

test-login-all.webp

完成,请享受吧~

参考资料