Spaces:

darkfire514
/

VPS_Linux

Running

App Files Files Community

darkfire514 commited on 6 days ago

Commit

cf4f9f7

verified ·

1 Parent(s): c57e208

Upload 3 files

Browse files

Files changed (3) hide show

README.md +3 -1
oauth2-proxy.cfg +5 -13
start.sh +33 -6

README.md CHANGED Viewed

@@ -34,6 +34,7 @@ license: mit
 | 变量名 | 描述 | 示例 |
 |--------|------|------|
 | `OAUTH2_PROXY_CLIENT_ID` | OAuth Client ID (GitHub 或 Google) | `Ov23li...` |
 | `OAUTH2_PROXY_CLIENT_SECRET` | OAuth Client Secret | `a1b2c3...` |
 | `OAUTH2_PROXY_COOKIE_SECRET` | Cookie 加密密钥 (16/24/32字节) | `python3 -c 'import os,base64; print(base64.b64encode(os.urandom(16)).decode())'` 生成一个 |
@@ -48,6 +49,7 @@ license: mit
 ## 🛠️ 功能特性
 - **OAuth 鉴权**: 使用 oauth2-proxy，安全稳定，支持 Session 管理。
 - **Nginx 反代**: 高性能反向代理，处理静态文件和 WebSocket。
 - **Web 终端**: 访问根路径 `/`，使用 `ttyd` 管理 VPS。
 - **WASM 游戏预览**: 访问 `/game`，预览编译好的 WebAssembly 游戏。
@@ -61,4 +63,4 @@ license: mit
 ## ⚠️ 安全警告
 - 此 VPS 拥有 root 权限。
-- oauth2-proxy 默认配置允许 GitHub 上的任何用户登录。**强烈建议**修改 `oauth2-proxy.cfg` 中的 `email_domains` 或设置 `authenticated_emails_file` 来限制特定用户。

 | 变量名 | 描述 | 示例 |
 |--------|------|------|
+| `ALLOWED_USERS` | **必填**。允许登录的 GitHub 用户名或 Email，逗号分隔。 | `yourgithubuser,your@email.com` |
 | `OAUTH2_PROXY_CLIENT_ID` | OAuth Client ID (GitHub 或 Google) | `Ov23li...` |
 | `OAUTH2_PROXY_CLIENT_SECRET` | OAuth Client Secret | `a1b2c3...` |
 | `OAUTH2_PROXY_COOKIE_SECRET` | Cookie 加密密钥 (16/24/32字节) | `python3 -c 'import os,base64; print(base64.b64encode(os.urandom(16)).decode())'` 生成一个 |
 ## 🛠️ 功能特性
 - **OAuth 鉴权**: 使用 oauth2-proxy，安全稳定，支持 Session 管理。
+- **白名单机制**: 仅允许 `ALLOWED_USERS` 中的用户登录，拒绝陌生人访问。
 - **Nginx 反代**: 高性能反向代理，处理静态文件和 WebSocket。
 - **Web 终端**: 访问根路径 `/`，使用 `ttyd` 管理 VPS。
 - **WASM 游戏预览**: 访问 `/game`，预览编译好的 WebAssembly 游戏。
 ## ⚠️ 安全警告
 - 此 VPS 拥有 root 权限。
+- 请务必正确设置 `ALLOWED_USERS`，否则虽然能登录，但可能被 oauth2-proxy 拒绝（如果未设置则可能开放给所有人，具体取决于配置）。

oauth2-proxy.cfg CHANGED Viewed

@@ -3,14 +3,13 @@
 # Listen address
 http_address = "127.0.0.1:4180"
-# Email Domains to allow authentication for (this authorizes any email on this domain)
-# For public access restricted by specific emails, use email_domains = ["*"] and set authenticated_emails_file
 email_domains = ["*"]
-# The OAuth Client ID, Secret
-# These will be injected via environment variables: OAUTH2_PROXY_CLIENT_ID, OAUTH2_PROXY_CLIENT_SECRET
-# client_id = "..."
-# client_secret = "..."
 # Cookie Settings
 cookie_secret = "OAUTH2_PROXY_COOKIE_SECRET_RANDOM_123"
@@ -20,20 +19,13 @@ cookie_refresh = "1h"
 cookie_expire = "168h"
 # Provider Settings
-# We will use GitHub by default, but can be configured for Google
 provider = "github"
 # Upstreams
-# We don't use oauth2-proxy to proxy traffic directly (Nginx does that via auth_request)
-# So we point it to a dummy static response or itself
 upstreams = [
     "http://127.0.0.1:4180/static"
 ]
-# Redirect URL
-# This should match your HF Space URL + /oauth2/callback
-# redirect_url = "https://<your-space>.hf.space/oauth2/callback"
 # Logging
 request_logging = true
 auth_logging = true

 # Listen address
 http_address = "127.0.0.1:4180"
+# Email Domains
+# We restrict access using authenticated_emails_file, so email_domains can be "*"
 email_domains = ["*"]
+# Authenticated Emails File
+# Only emails listed in this file will be allowed to login
+authenticated_emails_file = "/etc/oauth2-proxy/authenticated_emails.txt"
 # Cookie Settings
 cookie_secret = "OAUTH2_PROXY_COOKIE_SECRET_RANDOM_123"
 cookie_expire = "168h"
 # Provider Settings
 provider = "github"
 # Upstreams
 upstreams = [
     "http://127.0.0.1:4180/static"
 ]
 # Logging
 request_logging = true
 auth_logging = true

start.sh CHANGED Viewed

@@ -1,18 +1,45 @@
 #!/bin/bash
-# 确保必要的环境变量已设置，否则退出或使用默认值
-export OAUTH2_PROXY_CLIENT_ID=${OAUTH2_PROXY_CLIENT_ID:-"your_client_id"}
-export OAUTH2_PROXY_CLIENT_SECRET=${OAUTH2_PROXY_CLIENT_SECRET:-"your_client_secret"}
-export OAUTH2_PROXY_COOKIE_SECRET=${OAUTH2_PROXY_COOKIE_SECRET:-$(python3 -c 'import os,base64; print(base64.b64encode(os.urandom(16)).decode())')}
 # 1. 启动 ttyd (本地监听)
 echo "Starting ttyd on 127.0.0.1:7681..."
 ttyd -p 7681 -i 127.0.0.1 -W bash &
 # 2. 启动 oauth2-proxy (本地监听)
 echo "Starting oauth2-proxy on 127.0.0.1:4180..."
-# 使用配置文件启动，环境变量会自动覆盖配置中的值
-oauth2-proxy --config=oauth2-proxy.cfg &
 # 3. 启动 Nginx (对外监听 7860)
 echo "Starting Nginx on port 7860..."

 #!/bin/bash
+# 确保必要的环境变量已设置
+if [ -z "$OAUTH2_PROXY_CLIENT_ID" ] || [ "$OAUTH2_PROXY_CLIENT_ID" == "your_client_id" ]; then
+    echo "Error: OAUTH2_PROXY_CLIENT_ID is not set in Hugging Face Secrets!"
+fi
+if [ -z "$OAUTH2_PROXY_CLIENT_SECRET" ] || [ "$OAUTH2_PROXY_CLIENT_SECRET" == "your_client_secret" ]; then
+    echo "Error: OAUTH2_PROXY_CLIENT_SECRET is not set in Hugging Face Secrets!"
+fi
+# 生成默认 Cookie Secret (如果未设置)
+if [ -z "$OAUTH2_PROXY_COOKIE_SECRET" ]; then
+    echo "Generating temporary cookie secret..."
+    export OAUTH2_PROXY_COOKIE_SECRET=$(python3 -c 'import os,base64; print(base64.b64encode(os.urandom(16)).decode())')
+fi
+# 生成白名单文件
+# 我们从环境变量 ALLOWED_USERS 中读取邮箱列表（逗号分隔）
+# 并将其写入 oauth2-proxy 期望的文件格式（每行一个邮箱）
+mkdir -p /etc/oauth2-proxy
+if [ -n "$ALLOWED_USERS" ]; then
+    echo "Generating allowed users list..."
+    echo "$ALLOWED_USERS" | tr ',' '\n' > /etc/oauth2-proxy/authenticated_emails.txt
+else
+    echo "Warning: ALLOWED_USERS is not set! Anyone with a GitHub account can login."
+    # 创建一个空文件，或者允许所有（取决于配置，但为了安全建议留空或报错）
+    touch /etc/oauth2-proxy/authenticated_emails.txt
+fi
 # 1. 启动 ttyd (本地监听)
 echo "Starting ttyd on 127.0.0.1:7681..."
 ttyd -p 7681 -i 127.0.0.1 -W bash &
 # 2. 启动 oauth2-proxy (本地监听)
+# 我们直接在命令行传递 Client ID 和 Secret，确保它们被正确读取
 echo "Starting oauth2-proxy on 127.0.0.1:4180..."
+oauth2-proxy \
+    --config=oauth2-proxy.cfg \
+    --client-id="$OAUTH2_PROXY_CLIENT_ID" \
+    --client-secret="$OAUTH2_PROXY_CLIENT_SECRET" \
+    --cookie-secret="$OAUTH2_PROXY_COOKIE_SECRET" &
 # 3. 启动 Nginx (对外监听 7860)
 echo "Starting Nginx on port 7860..."