[教程]Netflix同户验证解决方案(优雅)，NF车主可参考

写在前面

代码是ai写的，我只提供了思路，如果有漏洞，请在github提issue（有时太忙，不一定处理得及时）

项目开源: GitHub - lthero-big/netflix-email-forward: A lightweight Netflix email forwarding system built with Next.js, TypeScript, and SQLite

思路：

Netflix 发送验证码邮件
↓
Gmail 接收（可选过滤）
↓
Gmail 转发到 Cloudflare 邮箱
↓
Cloudflare Email Routing 触发 Worker
↓
Worker 转发到你的网站
↓
网站保存并展示在仪表板

所以，NF车主需要做的就是（详细部署过程在项目中有写哦）

1、配置个前端网站(用上面的项目)
2、在CF里创建个Worker，Worker会自动将邮件转发到前端网站
3、在CF里创建个Email Routing，比如创建nf@xxx.top的邮箱，此邮箱收到邮件后会触发Worker
4、在NF的账号邮箱比如Gmail（或者其它邮箱），创建转发，收到指定的邮件后，需要转发给nf@xxx.top

支持的邮件类型

1. 登录验证码
2. 同户验证码
3. …

理论上任意邮件都可以，并且不限制平台或内容，邮件过滤是在Gmail实现的，当然，项目也内置了过滤器

**效果展示 **

2 posts - 2 participants

Read full topic

via LINUX DO - 最新话题 (author: Lthero)

Invalid media:
image
image

玩root佬友 对于豆包手机怎么评价 如果有了root 那大有可为啊 话说有没有大佬能弄一个仿豆包ai的模块 那可太厉害了

3 posts - 3 participants

Read full topic

via LINUX DO - 最新话题 (author: Tearlaments)

L站点赞就弹窗什么情况

哪怕1分钟前的回复点赞就弹这个
5 posts - 5 participants

Read full topic

via LINUX DO - 最新话题 (author: ytsingshao)

Invalid media: image

为 Nginx 添加 Google SSO 登录

站里不少佬友都有自建 NAS。众所周知，选择了自建，就不再有大公司来为系统安全兜底，自己成为了系统安全的第一责任人。一种确保安全的方式是关闭所有公网端口，使用 tailscale 之类的技术搭建虚拟专用网络，将外界的威胁拒之门外。但是这种方式需要在每一台设备上面都安装客户端，使用起来有些不方便。使用 cf tunnel，frp 端口转发等方式将内网服务暴露到公网上，是一种更方便的选择。

从安全的角度考虑，暴露在公网的服务，开启 2FA 不是一个可选项，而是必选。并非所有的自部署服务都支持 2FA。对于不支持 2FA 的服务，接入可靠的第三方 SSO（单点登录）是一个比较好的选择。如果将服务接入 Google 的 OIDC 验证，那么用户必须要先登录 Google ，才能登录自部署的服务。这样服务就受到了等同于 Google 账号的 2FA 保护。同时 Google SSO 还提供许多额外的好处，例如新登录的邮件提醒，无密码登录等。

下面我就来介绍一个在 nginx 上面添加 Google SSO 的方案。希望能抛砖引玉，给佬友们一些启发。也欢迎懂安全的佬友评价下这个方案的安全性。

为了实现 SSO 登录，我们主要需要下面两个组件：

● nginx 的 ngx_http_auth_request_module 模块。它提供了一个通用的方法，为 http 服务器接入任意的验证流程。
● oauth2-proxy 。它提供了将许多 OAuth2 提供商接入 nginx auth_request 流程的支持。将其与 nginx 配合，就可以对自部署服务提供 Google 登录的保护。

鉴权流程

我们先简单看下这个鉴权方案的流程：

在 nginx 中为 server 或 location 指定了 auth_request 服务器地址后，对该地址的访问请求将被全部转发到对应的 Auth 服务器。如果 Auth 服务器返回状态为 401 或 403，nginx 将停止正常处理请求，此时可以配置返回一个指向登录页面的重定向状态。当用户经过登录页面登录之后，Auth 服务器验证 nginx 传过来的 cookie，并返回 200 OK 状态，则 nginx 继续正常处理请求。下图分别展示了未登录请求和已登录请求的流程。

下面介绍在 nginx 中接入 Google 登录的配置方法。

方便起见，我们假设服务部署在 mydomain.com 域名上。

配置 Google Auth Platform

首先需要进入 Google Cloud Console 创建一个新的项目。接下来在搜素框中搜索并进入 Google Auth Platform。在客户端界面创建一个 OAuth 客户端，类型选择「Web 应用」，并在「已获授权的重定向 URI」添加一个地址 https://mydomain.com/oauth2/callback。选择保存之后，可以在客户端列表中找到客户端 ID 和密钥。ID 和密钥将用于 oauth2-proxy 的配置。

配置 oauth2-proxy

使用 Docker Compose 可以方便地部署 oauth2-proxy。注意 oauth2-proxy 需要能够访问 Google，在国内需要配置代理环境变量 https_proxy。

services:
  oauth2-proxy:
    image: quay.io/oauth2-proxy/oauth2-proxy
    container_name: oauth2-proxy
    command: --config /oauth2-proxy.cfg
    environment:
      - https_proxy=http://proxy-domain:1080
    volumes:
      - ./oauth2-proxy.cfg:/oauth2-proxy.cfg
    ports:
      - 4180:4180
    restart: unless-stopped

配置文件 oauth2-proxy.cfg 如下：

http_address="0.0.0.0:4180"
email_domains="gmail.com"
client_id="< 客户端 ID>"
client_secret="< 客户端密钥 >"
# cookie secret 可使用 openssl rand -base64 32 | tr -- '+/' '-_' 生成
cookie_secret="..."

redirect_url="https://mydomain.com/oauth2/callback"
cookie_domains=".mydomain.com" # 这样使得 app1.mydomain.com 也可以实现登录
whitelist_domains=".mydomain.com"

reverse_proxy="true"
set_xauthrequest="true"
# 下面三行用于设置 Authorization
set_basic_auth="true"
basic_auth_password="sihpHj35wr"
prefer_email_to_user="true"

配置 nginx

接下来需要配置 nginx，配置文件如下。
展开阅读 (click for more details)
在上面的配置中，使用了 auth_request 将鉴权请求发送到 oauth2_proxy。oauth2_proxy 在验证成功后，会添加 X-Auth-Request-User，X-Auth-Request-Email 两个 header，分别代表登录的用户和邮箱，同时会根据上面配置文件中设置的硬编码密码生成 HTTP Basic Auth 的 header，并转发到 82 端口。

直到这个时候，任何登录了 Google 账号的第三方用户都可以通过 oauth2_proxy 的验证，让请求进入到 82 端口。oauth2_proxy 实际上只起到了 认证（Authentication）的作用，也就是确保 HTTP 请求确实是来自 X-Auth-Request-Email 所标示的邮箱持有者。而 授权（Authorization）则由 HTTP Basic Auth 配合后面的 82 端口服务解决。

82 端口是另一个反向代理，用来保证只有允许的用户能够正常访问资源。passwd 文件通过下面的命令创建：

printf sihpHj35wr | sudo htpasswd -cBi /etc/nginx/.google_passwd user1@gmail.com
printf sihpHj35wr | sudo htpasswd -Bi /etc/nginx/.google_passwd user2@gmail.com
...

sihpHj35wr 是之前在 oauth2-proxy.cfg 里面设置的 Basic Auth 密码，仅作为占位使用。未经授权的用户 Google 登录后访问网站，将无法通过 82 端口服务器的验证而得到 403。至此便完成了 Google SSO 登录的配置。

结束

这样就完成了全部的配置，总的来说体验还是很好的。唯一的美中不足是登录方式不能用于部分需要客户端的服务，比如说 Jellyfin 由于需要客户端直连访问，就没法用这种方式添加 SSO。

1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: pg999w)

Invalid media:
image
image

佬友们是怎么用Claude Code Skill的

众所周知，如果开启了比较多的mcp那么上下文就会被mcp工具的说明占用

偶然了解到Skill这种按需加载的概念感觉特别好啊 :tieba_004:

研究了一天，看了不少佬友的文，还是有点昏头昏脑的

没太明白Skill应该怎么设计🤔
看文档看的心智负担太重了

佬友们都是怎么使用的呢？想了解了解有没有什么比较好的实践，或者有哪些比较好开源库推荐

1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: Monika)

Meta使用QWEN大模型对新AI模型进行了微调

meta真是没活整了，什么叫用千问微调meta
:distorted_face:
消息称，Meta使用阿里巴巴的通义千问大模型对新AI模型进行了微调。 阿里巴巴盘前涨逾4%，Meta跌超1%。
报道：Meta使用了阿里巴巴通义千问QWEN来优化其新的AI模型

1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: haorwen)

Invalid media: image

CloseAI:川普打钱!

这活动要是再持续一段时间
说不定k12会员能突破1000万 😆 病友

我们为美国造就了数百万k12教师!

1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: 欣欣|林可欣)

Invalid media: image

EdgeOne 的刷新服务当前有异常

1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: Dsdog)

Invalid media:
image
image

计算机毕设求助，毕设导师选择求建议

本人在联系毕设导师，准备做图像处理和视觉相关，有两个选择：第一个方向相同的老师，主要做图像处理的，人也不错好说话，还算熟；第二个教软件工程的老师，比较熟，人也好还负责，但是他主要就是软件工程方向，两个老师都是讲师。想求助各位佬给点建议 🥹

2 posts - 2 participants

Read full topic

via LINUX DO - 最新话题 (author: paddi)

求个能反复接码的平台推荐

我在这上面接了一个谷歌，又弹二验了，我想再用那个电话，他这张嘴就要1.25刀一次。。。
4 posts - 3 participants

Read full topic

via LINUX DO - 最新话题 (author: 谢谢不吃香菜)

Invalid media: image

一天干了45亿tokens，这是我没想到过的～

域名换完看了一下数据，万万没想到我的公益站这么受到大家的欢迎啊，1天45亿tokens，简直不敢想象。

鉴于佬友们这么猛，周五的时候原本的500个100刀兑换码改为1000个1000刀，希望大家再接再厉。

如果1000个兑换码都抢不到，那可不能怪我哦～

新域名：https://wzw.de5.net

68 posts - 59 participants

Read full topic

via LINUX DO - 最新话题 (author: Wong)

Invalid media: image

用了半个月订阅的codex 和gemini cli后感慨。

codex确实是生产力，先不说强不强，但它给出的方案，都是切实可行，能落地的，能变成生产力的。gemini就是娱乐用的，花里胡哨，开头很美，中间就始不行了，结尾就是搞笑。

ps:gemini pro3是真的强，但是就是那种很聪明，但没工作经验的小天才的感觉。

5 posts - 5 participants

Read full topic

via LINUX DO - 最新话题 (author: imocone)

请问如何组codex号池自用

手上有几个codex的team账号，希望在服务器部署类似crs或者newapi 这样的服务自己方便用起来。
现有资源如下：
国内服务器南京地区一台
香港服务器一台
新加坡服务器一台

有几个问题想请各位佬指点下：
连接codex的服务部署在哪台好？
如何或者codex的token，或者如何在crs或者newapi服务中认证
多个账号用单ip是否有风险？是否需要准备代理池？
其他注意事项？

10 posts - 6 participants

Read full topic

via LINUX DO - 最新话题 (author: clb2ue)

还有啥靠谱点的免费域名吗？netlib.re 开始删号了

搞点公益服务真不容易。两三个月换一次域名。

6 posts - 5 participants

Read full topic

via LINUX DO - 最新话题 (author: Tuso)

别人完全不理解我在干什么:我试图探寻AI的“意识”

群友投稿问题
Gemini:

Claude think:

Claude:

2 posts - 2 participants

Read full topic

via LINUX DO - 最新话题 (author: 欣欣|林可欣)

Invalid media:
image
image
image

玩卡玩魔怔了也是

不过19月租300G全国通用流量200分钟，还是长期的，也的确是不错

青春没有售价，办卡直达河北

1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: debug)

Invalid media:
image
image
image
image

【图片加密解密】天天图片混淆PRO

支持批量图片加密解密，支持拖放文件，快捷键 ~
加密图片分享必备神器，安全分享图片。

下载：https://martjay.lanzouu.com/iCpGr3dbefob

⬇️帮我这个Github项目点个收藏⬇️ – 谢谢各位佬~
github.com

GitHub - martjay/Web2Pdf-Chrome-Extension: Chrome extension that can convert web pages to...

Chrome extension that can convert web pages to PDF, supports reading mode, editing, lazy loading of pictures. -- 可以将网页转换为 PDF的Chrome扩展，支持阅读模式、编辑，懒加载图片。

1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: 赛博舞王)

Invalid media:
image
image

终结者文具又搞新东西了 超好看这次，星星主题笔!|再来拍拍我的牛油果

还送个灰球~

----------------------

早上摆的pose，保持了一整天 :distorted_face:

3 posts - 3 participants

Read full topic

via LINUX DO - 最新话题 (author: 欣欣|林可欣)

Invalid media:
image
image
image
image

有没有推荐的大香蕉和 sora2 的中转

大家都是在哪拿的这 API 呀？提供 banana 和 sora2 的中转站。比较关注的是稳定，或者价格够低也行。

2 posts - 2 participants

Read full topic

via LINUX DO - 最新话题 (author: GPT5)

丝袜保密发货?

把所有女生都当男娘吗？ :distorted_face:

你怎么知道我没网购过丝袜

不管私密影不影响价格(反正装箱子里确实影响)
但是就这价格，还说啥呢？ 😆

你不会以为我要买吧，我只是看到了而已

很难想象两斤丝袜是多少条，什么样的情景 🫠

17 posts - 9 participants

Read full topic

via LINUX DO - 最新话题 (author: 欣欣|林可欣)

Invalid media: image

突然发现论坛的机器人还停留在这么古早的阶段

始皇也要与时俱进啊
1 post - 1 participant

Read full topic

via LINUX DO - 最新话题 (author: waffie)

Invalid media: image