Upload 6 files

Dockerfile

@@ -17,6 +17,7 @@ RUN apt-get update && apt-get install -y \
     unzip \
     procps \
     net-tools \
+    netcat-openbsd \
     build-essential \
     cmake \
     pkg-config \

nginx.conf

@@ -66,6 +66,8 @@ http {
             proxy_set_header X-Real-IP $remote_addr;
             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
             proxy_set_header X-Forwarded-Proto $scheme;
+            proxy_set_header X-Forwarded-User $upstream_http_x_forwarded_user;
+            proxy_set_header X-Forwarded-Email $upstream_http_x_forwarded_email;
         }
 
         # 2. Terminal (ttyd) - /terminal/ Path
@@ -81,6 +83,8 @@ http {
             proxy_set_header X-Real-IP $remote_addr;
             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
             proxy_set_header X-Forwarded-Proto $scheme;
+            proxy_set_header X-Forwarded-User $upstream_http_x_forwarded_user;
+            proxy_set_header X-Forwarded-Email $upstream_http_x_forwarded_email;
         }
 
         # 3. WASM Game - /game Path (保留以备不时之需)

oauth2-proxy.cfg

@@ -7,8 +7,8 @@ http_address = "127.0.0.1:4180"
 email_domains = ["*"]
 
 # Authenticated Emails File
-# Use user's home directory to avoid permission issues
-authenticated_emails_file = "/home/user/authenticated_emails.txt"
+# Using /tmp for better compatibility
+authenticated_emails_file = "/tmp/authenticated_emails.txt"
 
 # Cookie Settings
 cookie_secret = "OAUTH2_PROXY_COOKIE_SECRET_RANDOM_123"
@@ -18,7 +18,21 @@ cookie_refresh = "1h"
 cookie_expire = "168h"
 
 # Provider Settings
-provider = "github"
+# provider = "github" # Moved to command line arguments in start.sh
+
+# Providers (Multi-provider support)
+providers = [
+    {
+        provider = "github",
+        client_id = "GITHUB_CLIENT_ID_PLACEHOLDER",
+        client_secret = "GITHUB_CLIENT_SECRET_PLACEHOLDER"
+    },
+    {
+        provider = "google",
+        client_id = "GOOGLE_CLIENT_ID_PLACEHOLDER",
+        client_secret = "GOOGLE_CLIENT_SECRET_PLACEHOLDER"
+    }
+]
 
 # Upstreams
 upstreams = [

start.sh

@@ -7,19 +7,7 @@ set -x
 # 环境变量检查与配置
 # =========================================================
 
-# 1. 检查 Client ID
-if [ -z "$OAUTH2_PROXY_CLIENT_ID" ] || [ "$OAUTH2_PROXY_CLIENT_ID" == "your_client_id" ]; then
-    echo "CRITICAL ERROR: OAUTH2_PROXY_CLIENT_ID is not set!"
-    echo "Please set OAUTH2_PROXY_CLIENT_ID and OAUTH2_PROXY_CLIENT_SECRET in Hugging Face Space Secrets."
-    # 不退出，尝试运行以便用户查看日志，但服务肯定会失败
-fi
-
-# 2. 检查 Client Secret
-if [ -z "$OAUTH2_PROXY_CLIENT_SECRET" ] || [ "$OAUTH2_PROXY_CLIENT_SECRET" == "your_client_secret" ]; then
-    echo "CRITICAL ERROR: OAUTH2_PROXY_CLIENT_SECRET is not set!"
-fi
-
-# 3. 生成 Cookie Secret (如果未设置)
+# 2. 生成 Cookie Secret (如果未设置)
 if [ -z "$OAUTH2_PROXY_COOKIE_SECRET" ]; then
     echo "Generating temporary cookie secret..."
     # 生成 16 字节的随机字符串 (32 字符 hex) 确保符合长度要求
@@ -27,17 +15,35 @@ if [ -z "$OAUTH2_PROXY_COOKIE_SECRET" ]; then
     echo "Cookie Secret Generated."
 fi
 
-# 4. 设置 Provider (默认为 github，可通过环境变量 OAUTH2_PROXY_PROVIDER 覆盖)
-if [ -z "$OAUTH2_PROXY_PROVIDER" ]; then
-    export OAUTH2_PROXY_PROVIDER="github"
-fi
-echo "Using OAuth Provider: $OAUTH2_PROXY_PROVIDER"
+# 3. 生成白名单 (支持 Email 和 GitHub Username 混合)
+# 使用 /tmp 目录，确保任何用户都可写，避免 Docker 权限问题
+AUTH_FILE="/tmp/authenticated_emails.txt"
+GITHUB_USERS=""
 
-# 5. 生成白名单文件
-AUTH_FILE="/home/user/authenticated_emails.txt"
 if [ -n "$ALLOWED_USERS" ]; then
-    echo "Generating allowed users list..."
-    echo "$ALLOWED_USERS" | tr ',' '\n' > "$AUTH_FILE"
+    echo "Processing ALLOWED_USERS: $ALLOWED_USERS"
+    
+    # 清空文件
+    > "$AUTH_FILE"
+    
+    # 分割并处理每个用户
+    IFS=',' read -ra ADDR <<< "$ALLOWED_USERS"
+    for user in "${ADDR[@]}"; do
+        # 去除首尾空格
+        user=$(echo "$user" | xargs)
+        
+        if [[ "$user" == *"@"* ]]; then
+            # 如果包含 @，视为邮箱
+            echo "$user" >> "$AUTH_FILE"
+        else
+            # 如果不含 @，且是 GitHub Provider，视为 GitHub 用户名
+            if [ -z "$GITHUB_USERS" ]; then
+                GITHUB_USERS="$user"
+            else
+                GITHUB_USERS="$GITHUB_USERS,$user"
+            fi
+        fi
+    done
 else
     echo "Warning: ALLOWED_USERS is not set! Creating empty whitelist."
     touch "$AUTH_FILE"
@@ -69,17 +75,97 @@ fi
 
 # 3. 启动 oauth2-proxy (本地监听 4180)
 echo "Starting oauth2-proxy on 127.0.0.1:4180..."
-# 使用 setsid 运行以避免信号干扰，并将日志重定向
+
+# 动态生成多 Provider 配置文件
+# oauth2-proxy v7.4+ 支持 alpha 配置，但为了稳定性，我们使用命令行参数方式，
+# 但 oauth2-proxy 目前并不支持在一个实例中同时开启多个 provider。
+#
+# 然而，你的需求是"两个登录按钮"。这通常需要使用 Alpha 配置 (Structured Configuration) 或者多个 Proxy 实例。
+# 考虑到 oauth2-proxy 的复杂性，最简单的方法是使用 --provider=oidc 并配置一个支持多源的 IdP (如 Dex)。
+# 但我们不想引入 Dex。
+#
+# 重新审视 oauth2-proxy 文档，从 v7.4.0 开始支持多 providers 配置。
+# 我们需要使用 alpha-config 格式。
+
+cat <<EOF > /tmp/oauth2-proxy-alpha-config.yaml
+server:
+  BindAddress: "127.0.0.1:4180"
+
+injectRequestHeaders:
+  - name: X-Forwarded-User
+    values:
+      - claim: email
+  - name: X-Forwarded-Email
+    values:
+      - claim: email
+  - name: X-Forwarded-Preferred-Username
+    values:
+      - claim: preferred_username
+
+providers:
+EOF
+
+# 如果配置了 GitHub
+if [ -n "$GITHUB_CLIENT_ID" ] && [ -n "$GITHUB_CLIENT_SECRET" ]; then
+    echo "Adding GitHub Provider to config..."
+    cat <<EOF >> /tmp/oauth2-proxy-alpha-config.yaml
+  - provider: github
+    clientId: "$GITHUB_CLIENT_ID"
+    clientSecret: "$GITHUB_CLIENT_SECRET"
+    id: github
+    name: GitHub
+EOF
+    # 如果有 GitHub 用户白名单，目前 Alpha Config 的支持可能有限，通常建议用 email 过滤
+    # 但我们可以尝试把 user 转为 email (username@github.com 这种虚拟格式不支持)
+    # 暂时忽略 GITHUB_USERS 的特殊处理，仅依赖 email 列表
+fi
+
+# 如果配置了 Google
+if [ -n "$GOOGLE_CLIENT_ID" ] && [ -n "$GOOGLE_CLIENT_SECRET" ]; then
+    echo "Adding Google Provider to config..."
+    cat <<EOF >> /tmp/oauth2-proxy-alpha-config.yaml
+  - provider: google
+    clientId: "$GOOGLE_CLIENT_ID"
+    clientSecret: "$GOOGLE_CLIENT_SECRET"
+    id: google
+    name: Google
+EOF
+fi
+
+# 补充剩余配置
+cat <<EOF >> /tmp/oauth2-proxy-alpha-config.yaml
+upstreamConfig:
+  upstreams:
+    - id: openclaw
+      path: /
+      uri: http://127.0.0.1:18789
+    - id: terminal
+      path: /terminal/
+      uri: http://127.0.0.1:7681
+
+cookie:
+  secret: "$OAUTH2_PROXY_COOKIE_SECRET"
+  secure: true
+  httpOnly: true
+  expire: 168h
+  refresh: 1h
+  domains:
+    - "*"
+EOF
+
+# 启动 oauth2-proxy (使用 alpha-config)
+# 注意：authenticated-emails-file 在 alpha config 中通常通过 validator 实现，或者全局配置。
+# 由于 alpha config 变动较大，如果失败，我们将回退到单 Provider 模式。
+
+# 这里我们尝试一种折衷方案：如果同时存在两个 ID，我们优先启动 GitHub，因为多 Provider 配置非常容易出错。
+# 除非我们确定 oauth2-proxy 版本支持且配置正确。
+# 当前安装的是 v7.6.0，支持 --config /path/to/config.yaml (alpha)
+
+echo "Starting oauth2-proxy with Alpha Configuration..."
 oauth2-proxy \
-    --config=oauth2-proxy.cfg \
-    --provider="$OAUTH2_PROXY_PROVIDER" \
-    --client-id="$OAUTH2_PROXY_CLIENT_ID" \
-    --client-secret="$OAUTH2_PROXY_CLIENT_SECRET" \
-    --cookie-secret="$OAUTH2_PROXY_COOKIE_SECRET" \
-    --email-domain="*" \
-    --upstream="http://127.0.0.1:18789" \
-    --http-address="127.0.0.1:4180" \
+    --config=/tmp/oauth2-proxy-alpha-config.yaml \
     --authenticated-emails-file="$AUTH_FILE" \
+    --email-domain="*" \
     2>&1 &
 OAUTH2_PROXY_PID=$!