feat(rvs): Caddy als TLS-Terminator + Let's Encrypt vor RVS

OAuth-Provider (Spotify, Dropbox, ...) verlangen HTTPS fuer non-localhost Redirect-URIs. Bisher lief der RVS direkt auf einem TCP-Port ohne TLS — Spotify hat den Callback abgewiesen. Loesung: Caddy im selben Compose-Stack davor. Holt automatisch ein Let's Encrypt-Zertifikat fuer PUBLIC_URL (HTTP-01 ueber Port 80), terminiert TLS auf 443 und routet alles inkl. WebSocket-Upgrades an den internen RVS-Container (Port 3000). - rvs/docker-compose.yml: caddy-Service hinzu (image caddy:latest, command 'caddy reverse-proxy --from ${PUBLIC_URL} --to rvs:3000'), rvs-Service verliert ports-Block (nur intern via aria-rvs-net), data-Volumes fuer Caddy-ACME-State (persistent, Rate-Limit-Schutz). - rvs/.env.example neu: dokumentiert PUBLIC_URL + DNS/Port- Voraussetzungen. - rvs/.gitignore neu: .env + data/ (sonst landen die Zertifikate versehentlich im Repo). - README RVS-Sektion: Setup-Schritte mit Caddy + Hinweis wie man's auskommentiert wenn ein eigener Reverse-Proxy davor steht. Wer schon einen TLS-Terminator hat (nginx/Traefik): caddy-Service in der Compose auskommentieren, rvs wieder einen ports-Block geben. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-24 20:23:28 +02:00
parent 13e87fb083
commit d939fc4ac3
4 changed files with 84 additions and 3 deletions
@@ -598,16 +598,27 @@ tar -czf aria-backup-$(date +%Y%m%d).tar.gz aria-data/

 ## RVS — Rendezvous-Server

-Laeuft im Rechenzentrum. WebSocket Relay + Auto-Update Server.
+Laeuft im Rechenzentrum. WebSocket Relay + OAuth-Callback HTTP-Server.
 Wer sich mit dem gleichen Token verbindet, landet im gleichen Room.

 ```bash
 cd rvs
+cp .env.example .env       # PUBLIC_URL eintragen (Domain die auf den Server zeigt)
 docker compose up -d
 ```

+**Stack:**
+- `caddy` (TLS-Terminator + Let's Encrypt, lauscht auf 80+443)
+- `rvs` (WebSocket Relay + OAuth-Callback HTTP, nur intern auf Port 3000)
+
+Caddy holt automatisch ein Zertifikat fuer `PUBLIC_URL` via HTTP-01-Challenge.
+ACME-State persistent in `./data/caddy/` (gitignored) — kein Rate-Limit-Drama
+bei Container-Restart. WebSocket-Upgrades reicht Caddy transparent durch.
+
 **Features:**
 - WebSocket Relay (alle Message-Types: chat, audio, file, config, xtts, update, etc.)
+- OAuth-Callback HTTP: `GET /oauth/callback/{service}?code=...` → broadcastet als
+  `oauth_callback`-WS-Message + zeigt dem Browser eine "OAuth erfolgreich"-Seite
 - Auto-Update: APK-Verteilung an Apps ueber WebSocket
 - Heartbeat + tote Verbindungen aufraeumen

@@ -620,6 +631,11 @@ cp ARIA-v0.0.3.0.apk ~/ARIA-AGENT/rvs/updates/

 **Multi-Instanz:** Mehrere ARIA-VMs koennen denselben RVS nutzen — jede mit eigenem Token.

+**Ohne Caddy / eigener TLS-Terminator:** Wenn Du schon einen Reverse-Proxy
+(nginx/Traefik) davor hast, kommentier den `caddy`-Service in der
+`rvs/docker-compose.yml` aus und gib `rvs` wieder einen `ports`-Block
+(z.B. `["3000:3000"]`). Dein Reverse-Proxy macht dann TLS und reicht weiter.
+
 ---

 ## Gamebox-Stack — F5-TTS + Whisper (GPU-Services)