Modo proxy HTTPS

Este artículo se ha traducido del inglés mediante IA y puede contener errores. Sus comentarios nos ayudarán a mejorar.

Si despliega ActivityInfo detrás de un balanceador de carga o un proxy inverso que proporciona terminación SSL, debe actualizar la configuración de ActivityInfo para que el servidor de ActivityInfo sepa que debe aceptar solicitudes no seguras a través de http, mientras sigue presentando URLs HTTPS seguras en los correos electrónicos de notificación y otros materiales para el usuario.

El modo Proxy Https es compatible con el Servidor Autónomo de ActivityInfo, Versión 4.0.15 y posteriores.

Actualización de config.ini

Puede habilitar el modo "Proxy HTTPS" editando el archivo config.ini de ActivityInfo. Por ejemplo:

[Server]
Https Port=8080
Https Proxy=True

Uso de variables de entorno

También puede proporcionar valores de configuración utilizando variables de entorno.

Esto es particularmente conveniente para pasar la configuración a ActivityInfo que se ejecuta en un contenedor Docker. El siguiente archivo Docker Compose incluye una sección "environment" utilizada para habilitar el modo Proxy HTTPS:

version: "3"
networks:
  web:
    external: true

services:
  activityinfo:
    image: activityinfo/activityinfo:4.1.3
    volumes:
      - activityinfo:/data
    environment:
      - ACTIVITYINFO_SERVER_HTTPS_PROXY=TRUE
      - ACTIVITYINFO_SERVER_DOMAIN=activityinfo.example.gov
    networks:
      - web
volumes:
  activityinfo:

Asegúrese de que el encabezado X-Real-IP esté configurado

El servidor Autónomo de ActivityInfo implementa una limitación de peticiones basada en la dirección IP para varios puntos finales, incluida la página de inicio de sesión. Si una única dirección IP realiza demasiados intentos de inicio de sesión fallidos, el servidor autónomo de ActivityInfo bloqueará temporalmente esa dirección IP para que no pueda realizar más intentos de inicio de sesión durante unos minutos. Esta es una defensa contra los ataques de fuerza bruta y los ataques de pulverización de contraseñas.

Para evitar bloquear a todos los usuarios, es importante que el servidor autónomo de ActivityInfo pueda identificar con precisión la dirección IP de todas las solicitudes, en lugar de simplemente vincular cada solicitud a la IP del servidor proxy. Cuando el modo Proxy HTTPS está habilitado, el servidor Autónomo de ActivityInfo se basa en el encabezado HTTP convencional X-Real-IP para proporcionar esta información. ¡Asegúrese de que su servidor proxy esté configurando correctamente este encabezado para evitar bloquear a todos sus usuarios!

Traefik reenvía este encabezado por defecto, y la mayoría de los archivos de configuración de Nginx también lo incluirán. Un ejemplo de archivo de configuración de Nginx:

server {
    server_name activityinfo.example.gov

    location / {
      proxy_set_header        Host $host;
      proxy_set_header        X-Real-IP $remote_addr;

      proxy_pass              http://localhost:8080;
      proxy_redirect          http://localhost:8080 https://FQHOST;
    }
}

Siguiente elemento

Configuración de Mapbox