duffyduck
d939fc4ac3
OAuth-Provider (Spotify, Dropbox, ...) verlangen HTTPS fuer non-localhost
Redirect-URIs. Bisher lief der RVS direkt auf einem TCP-Port ohne TLS —
Spotify hat den Callback abgewiesen.
Loesung: Caddy im selben Compose-Stack davor. Holt automatisch ein
Let's Encrypt-Zertifikat fuer PUBLIC_URL (HTTP-01 ueber Port 80),
terminiert TLS auf 443 und routet alles inkl. WebSocket-Upgrades an
den internen RVS-Container (Port 3000).
- rvs/docker-compose.yml: caddy-Service hinzu (image caddy:latest,
command 'caddy reverse-proxy --from ${PUBLIC_URL} --to rvs:3000'),
rvs-Service verliert ports-Block (nur intern via aria-rvs-net),
data-Volumes fuer Caddy-ACME-State (persistent, Rate-Limit-Schutz).
- rvs/.env.example neu: dokumentiert PUBLIC_URL + DNS/Port-
Voraussetzungen.
- rvs/.gitignore neu: .env + data/ (sonst landen die Zertifikate
versehentlich im Repo).
- README RVS-Sektion: Setup-Schritte mit Caddy + Hinweis wie man's
auskommentiert wenn ein eigener Reverse-Proxy davor steht.
Wer schon einen TLS-Terminator hat (nginx/Traefik): caddy-Service in
der Compose auskommentieren, rvs wieder einen ports-Block geben.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
15 lines
846 B
Bash
15 lines
846 B
Bash
# ════════════════════════════════════════════════════════
|
|
# ARIA RVS — Server-seitige Config
|
|
# Kopieren nach .env und Werte eintragen.
|
|
# ════════════════════════════════════════════════════════
|
|
|
|
# Oeffentlich erreichbarer DNS-Name dieses Servers. Caddy holt darauf ein
|
|
# Let's Encrypt-Zertifikat (HTTP-01 Challenge ueber Port 80) und routet
|
|
# WebSocket + HTTP weiter an den RVS-Container.
|
|
#
|
|
# WICHTIG:
|
|
# - Die Domain muss per DNS-A-Record/AAAA auf diese Maschine zeigen
|
|
# - Port 80 + 443 muessen vom Internet aus erreichbar sein
|
|
# - Kein anderer Reverse-Proxy davor (sonst Cert-Konflikt)
|
|
PUBLIC_URL=rvs.example.de
|