Upload 6 files

Dockerfile

@@ -7,9 +7,6 @@ ENV HOME=/home/user
 ENV PATH=$HOME/.local/bin:$PATH
 
 # Install essential system packages and build tools
-# - nginx: Web server for static files (WASM) and reverse proxy
-# - apache2-utils: For htpasswd (Basic Auth)
-# - emscripten dependencies: python3, cmake, git, xz-utils
 RUN apt-get update && apt-get install -y \
     curl \
     wget \
@@ -24,22 +21,27 @@ RUN apt-get update && apt-get install -y \
     cmake \
     pkg-config \
     python3 \
-    python3-pip \
     nginx \
-    apache2-utils \
     xz-utils \
     bzip2 \
+    ca-certificates \
     && apt-get clean && rm -rf /var/lib/apt/lists/*
 
 # Install ttyd (Web Terminal)
 RUN wget https://github.com/tsl0922/ttyd/releases/download/1.7.7/ttyd.x86_64 -O /usr/bin/ttyd \
     && chmod +x /usr/bin/ttyd
 
+# Install oauth2-proxy
+# Download v7.6.0 release
+RUN wget https://github.com/oauth2-proxy/oauth2-proxy/releases/download/v7.6.0/oauth2-proxy-v7.6.0.linux-amd64.tar.gz \
+    && tar -xzf oauth2-proxy-v7.6.0.linux-amd64.tar.gz \
+    && mv oauth2-proxy-v7.6.0.linux-amd64/oauth2-proxy /usr/bin/oauth2-proxy \
+    && chmod +x /usr/bin/oauth2-proxy \
+    && rm -rf oauth2-proxy-v7.6.0.linux-amd64*
+
 # Install Emscripten (EMSDK)
-# We install it to /opt/emsdk and make it available for all users
 WORKDIR /opt
 RUN git clone https://github.com/emscripten-core/emsdk.git
-# 修正：将 cd 命令包含在 RUN 指令中
 RUN cd emsdk && \
     ./emsdk install latest && \
     ./emsdk activate latest && \
@@ -65,6 +67,7 @@ USER user
 
 # Copy configuration files
 COPY --chown=user:user nginx.conf /etc/nginx/nginx.conf
+COPY --chown=user:user oauth2-proxy.cfg .
 COPY --chown=user:user start.sh .
 COPY --chown=user:user build_wasm.sh .
 

README.md

@@ -14,7 +14,7 @@ license: mit
 
 此环境配置了 `sudo` 权限，方便你在运行时安装所需的软件（如 OpenClaw）。
 
-**新特性：支持 WebAssembly (WASM) 编译环境与 Nginx 静态服务。**
+**新特性：采用 Nginx + oauth2-proxy 架构，支持稳定的 GitHub/Google OAuth 登录与 WebAssembly 游戏预览。**
 
 ## 🚀 快速开始
 
@@ -27,43 +27,38 @@ license: mit
 6. 点击 **Create Space**。
 
 ### 2. 上传文件
-将本仓库中的所有文件（`Dockerfile`, `README.md`, `start.sh`, `nginx.conf`, `build_wasm.sh`）上传到你的 Space 仓库中。
+将本仓库中的所有文件（`Dockerfile`, `README.md`, `start.sh`, `nginx.conf`, `oauth2-proxy.cfg`, `build_wasm.sh`）上传到你的 Space 仓库中。
 
 ### 3. 配置鉴权环境变量 (重要!)
-在 Space 的 **Settings** -> **Variables and secrets** 中添加以下环境变量，用于设置登录的用户名和密码。
+在 Space 的 **Settings** -> **Variables and secrets** 中添加以下环境变量：
 
-| 变量名 | 描述 | 默认值 |
-|--------|------|--------|
-| `TTYD_USER` | 登录用户名 | `admin` |
-| `TTYD_PASSWORD` | 登录密码 | `admin123456` |
+| 变量名 | 描述 | 示例 |
+|--------|------|------|
+| `OAUTH2_PROXY_CLIENT_ID` | OAuth Client ID (GitHub 或 Google) | `Ov23li...` |
+| `OAUTH2_PROXY_CLIENT_SECRET` | OAuth Client Secret | `a1b2c3...` |
+| `OAUTH2_PROXY_COOKIE_SECRET` | Cookie 加密密钥 (16/24/32字节) | `python3 -c 'import os,base64; print(base64.b64encode(os.urandom(16)).decode())'` 生成一个 |
 
-**⚠️ 警告**: 请务必修改默认密码，否则所有人都能访问你的 VPS！
+**回调地址配置**:
+*   GitHub App Callback URL: `https://<你的Space地址>/oauth2/callback`
+*   Google Client Redirect URI: `https://<你的Space地址>/oauth2/callback`
 
 ### 4. 访问 VPS
 配置好环境变量后，Space 会自动重启。
-点击 **App** 标签页，输入用户名密码即可进入终端。
+点击 **App** 标签页，你会看到 GitHub/Google 登录页面。登录成功后即可进入终端。
 
 ## 🛠️ 功能特性
+- **OAuth 鉴权**: 使用 oauth2-proxy，安全稳定，支持 Session 管理。
+- **Nginx 反代**: 高性能反向代理，处理静态文件和 WebSocket。
 - **Web 终端**: 访问根路径 `/`，使用 `ttyd` 管理 VPS。
-- **WASM 游戏预览**: 访问 `/game`，预览编译好的 WebAssembly 游戏（需先编译）。
-- **WASM 编译环境**: 预装 Emscripten (emsdk)，随时准备编译 C++ 项目。
-- **Nginx 反代**: 统一管理路由和 Basic Auth 鉴权，稳定可靠。
+- **WASM 游戏预览**: 访问 `/game`，预览编译好的 WebAssembly 游戏。
+- **WASM 编译环境**: 预装 Emscripten (emsdk)。
 
 ## 🎮 如何编译 OpenClaw 为 WASM
 
-这是一个高级任务。环境已经准备好，你可以尝试在终端中运行以下命令：
-
-```bash
-# 运行辅助构建脚本
-./build_wasm.sh
-```
-
-如果编译成功，访问 `https://<你的Space地址>/game` 即可看到游戏界面。
-
-### 注意事项
-- **图形界面限制**: 直接运行 `./OpenClaw` 可能会报错 `Could not initialize SDL: No available video device`，因为 Space 没有连接显示器。
-- **持久化存储**: Hugging Face Spaces 重启后，非 `/data` 目录下的文件会丢失。建议将重要数据保存在 `/data` 目录（如果启用了 Persistent Storage）或使用 Git 同步代码。
+1.  登录终端。
+2.  运行 `./build_wasm.sh`。
+3.  如果编译成功，访问 `https://<你的Space地址>/game` 即可玩游戏。
 
 ## ⚠️ 安全警告
-- 此 VPS 拥有 root 权限，请勿在其中存储敏感密钥。
-- 请务必设置强密码。
+- 此 VPS 拥有 root 权限。
+- oauth2-proxy 默认配置允许 GitHub 上的任何用户登录。**强烈建议**修改 `oauth2-proxy.cfg` 中的 `email_domains` 或设置 `authenticated_emails_file` 来限制特定用户。

nginx.conf

@@ -26,13 +26,40 @@ http {
 
     server {
         listen 7860;
-        
-        # Basic Auth Configuration
-        auth_basic "Restricted Access";
-        auth_basic_user_file /etc/nginx/.htpasswd;
+        server_name localhost;
+
+        # =========================================================
+        # OAuth2 Proxy Authentication
+        # =========================================================
+
+        location /oauth2/ {
+            proxy_pass       http://127.0.0.1:4180;
+            proxy_set_header Host                    $host;
+            proxy_set_header X-Real-IP               $remote_addr;
+            proxy_set_header X-Scheme                $scheme;
+            proxy_set_header X-Auth-Request-Redirect $request_uri;
+        }
+
+        location = /oauth2/auth {
+            proxy_pass       http://127.0.0.1:4180;
+            proxy_set_header Host             $host;
+            proxy_set_header X-Real-IP        $remote_addr;
+            proxy_set_header X-Scheme         $scheme;
+            # nginx auth_request includes headers but not body
+            proxy_set_header Content-Length   "";
+            proxy_pass_request_body           off;
+        }
+
+        # =========================================================
+        # Protected Resources
+        # =========================================================
 
         # 1. Terminal (ttyd) - Root Path
         location / {
+            auth_request /oauth2/auth;
+            error_page 401 = /oauth2/sign_in;
+
+            # If authenticated, pass to ttyd
             proxy_pass http://127.0.0.1:7681;
             proxy_http_version 1.1;
             proxy_set_header Upgrade $http_upgrade;
@@ -41,10 +68,19 @@ http {
             proxy_set_header X-Real-IP $remote_addr;
             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
             proxy_set_header X-Forwarded-Proto $scheme;
+
+            # Pass user info from oauth2-proxy (optional)
+            auth_request_set $user   $upstream_http_x_auth_request_user;
+            auth_request_set $email  $upstream_http_x_auth_request_email;
+            proxy_set_header X-User  $user;
+            proxy_set_header X-Email $email;
         }
 
         # 2. Game (WASM) - /game Path
         location /game {
+            auth_request /oauth2/auth;
+            error_page 401 = /oauth2/sign_in;
+
             alias /var/www/html/game;
             index index.html;
             

oauth2-proxy.cfg

@@ -0,0 +1,40 @@
+# oauth2-proxy configuration
+
+# Listen address
+http_address = "127.0.0.1:4180"
+
+# Email Domains to allow authentication for (this authorizes any email on this domain)
+# For public access restricted by specific emails, use email_domains = ["*"] and set authenticated_emails_file
+email_domains = ["*"]
+
+# The OAuth Client ID, Secret
+# These will be injected via environment variables: OAUTH2_PROXY_CLIENT_ID, OAUTH2_PROXY_CLIENT_SECRET
+# client_id = "..."
+# client_secret = "..."
+
+# Cookie Settings
+cookie_secret = "OAUTH2_PROXY_COOKIE_SECRET_RANDOM_123"
+cookie_secure = true
+cookie_httponly = true
+cookie_refresh = "1h"
+cookie_expire = "168h"
+
+# Provider Settings
+# We will use GitHub by default, but can be configured for Google
+provider = "github"
+
+# Upstreams
+# We don't use oauth2-proxy to proxy traffic directly (Nginx does that via auth_request)
+# So we point it to a dummy static response or itself
+upstreams = [
+    "http://127.0.0.1:4180/static"
+]
+
+# Redirect URL
+# This should match your HF Space URL + /oauth2/callback
+# redirect_url = "https://<your-space>.hf.space/oauth2/callback"
+
+# Logging
+request_logging = true
+auth_logging = true
+standard_logging = true

start.sh

@@ -1,19 +1,19 @@
 #!/bin/bash
 
-# 获取环境变量
-USER=${TTYD_USER:-"admin"}
-PASSWORD=${TTYD_PASSWORD:-"admin123456"}
+# 确保必要的环境变量已设置，否则退出或使用默认值
+export OAUTH2_PROXY_CLIENT_ID=${OAUTH2_PROXY_CLIENT_ID:-"your_client_id"}
+export OAUTH2_PROXY_CLIENT_SECRET=${OAUTH2_PROXY_CLIENT_SECRET:-"your_client_secret"}
+export OAUTH2_PROXY_COOKIE_SECRET=${OAUTH2_PROXY_COOKIE_SECRET:-$(python3 -c 'import os,base64; print(base64.b64encode(os.urandom(16)).decode())')}
 
-# 生成 Nginx Basic Auth 文件
-echo "Generating .htpasswd for user: $USER"
-htpasswd -bc /etc/nginx/.htpasswd "$USER" "$PASSWORD"
-
-# 启动 ttyd (本地监听，无 Auth，由 Nginx 接管)
-# -i 127.0.0.1: 仅监听本地
-# -W: 允许写入
+# 1. 启动 ttyd (本地监听)
 echo "Starting ttyd on 127.0.0.1:7681..."
 ttyd -p 7681 -i 127.0.0.1 -W bash &
 
-# 启动 Nginx
+# 2. 启动 oauth2-proxy (本地监听)
+echo "Starting oauth2-proxy on 127.0.0.1:4180..."
+# 使用配置文件启动，环境变量会自动覆盖配置中的值
+oauth2-proxy --config=oauth2-proxy.cfg &
+
+# 3. 启动 Nginx (对外监听 7860)
 echo "Starting Nginx on port 7860..."
 nginx -g "daemon off;"