Modo proxy HTTPS

Este artículo se ha traducido del inglés mediante IA y puede contener errores. Sus comentarios nos ayudarán a mejorar.

Si implementa ActivityInfo detrás de un balanceador de carga o un proxy inverso que proporciona terminación SSL, debe actualizar la configuración de ActivityInfo para que el servidor de ActivityInfo sepa que debe aceptar solicitudes no seguras a través de http, y al mismo tiempo presentar URL HTTPS seguras en los correos electrónicos de notificación y otros materiales dirigidos al usuario.

El modo Proxy Https es compatible con el Servidor Independiente de ActivityInfo, versión 4.0.15 y posteriores.

Actualizar config.ini

Puede permitir el modo "Proxy HTTPS" editando el archivo config.ini de ActivityInfo. Por ejemplo:

[Server]
Https Port=8080
Https Proxy=True

Usar variables de entorno

También puede proporcionar valores de configuración utilizando variables de entorno.

Esto es especialmente útil para pasar la configuración a ActivityInfo que se ejecuta en un contenedor Docker. El siguiente archivo de Docker Compose incluye una sección de "entorno" utilizada para permitir el modo Proxy HTTPS:

version: "3"
networks:
  web:
    external: true

services:
  activityinfo:
    image: activityinfo/activityinfo:4.1.3
    volumes:
      - activityinfo:/data
    environment:
      - ACTIVITYINFO_SERVER_HTTPS_PROXY=TRUE
      - ACTIVITYINFO_SERVER_DOMAIN=activityinfo.example.gov
    networks:
      - web
volumes:
  activityinfo:

Asegúrese de que la cabecera X-Real-IP está configurada

El servidor Independiente de ActivityInfo implementa la limitación de velocidad basada en la dirección IP para una serie de puntos finales, incluida la página de inicio de sesión. Si una única dirección IP realiza demasiados intentos de inicio de sesión fallidos, el servidor independiente de ActivityInfo bloqueará temporalmente esa dirección IP para que no pueda realizar más intentos de inicio de sesión durante unos minutos. Se trata de una defensa contra los ataques de fuerza bruta y los ataques de pulverización de contraseñas.

Para evitar el bloqueo de todos los usuarios, es importante que el servidor independiente de ActivityInfo pueda identificar con precisión la dirección IP de todas las solicitudes, en lugar de limitarse a vincular cada solicitud a la IP del servidor proxy. Cuando el modo Proxy HTTPS está habilitado, el servidor Independiente de ActivityInfo se basa en la cabecera HTTP convencional X-Real-IP para proporcionar esta información. ¡Asegúrese de que su servidor proxy está configurando correctamente esta cabecera para evitar bloquear a todos sus usuarios!

Traefik reenvía esta cabecera por defecto, y la mayoría de los archivos de configuración de Nginx también la incluirán. Un ejemplo de archivo de configuración de Nginx:

server {
    server_name activityinfo.example.gov

    location / {
      proxy_set_header        Host $host;
      proxy_set_header        X-Real-IP $remote_addr;

      proxy_pass              http://localhost:8080;
      proxy_redirect          http://localhost:8080 https://FQHOST;
    }
}
Siguiente elemento
Configuración de Mapbox