🔐 Nodewarden + Cloudflare Zero Trust 最佳实践
实现:Web 全站鉴权 + 客户端 API 放行
最近搭建了 Nodewarden,密码管理器的安全性必须拉满。
Cloudflare Access(Zero Trust)非常适合保护只供个人或内部访问的服务,例如:
- Nodewarden
- 哪吒监控
- 宝塔面板
- 后台管理
- 其他内部 Web 服务
下面以 Nodewarden 为例说明 Zero Trust 的配置方式。
🧭 Cloudflare Zero Trust 配置步骤
路径:
Cloudflare 后台 → Zero Trust → 访问控制(Access)→ 添加两个应用程序
🟦 应用程序一:nodewarden-web(拦截 Web 全站)
🎯 目的
保护 Web 前端,所有 URL 都必须登录后才能访问。
✔ 配置
- 应用名称:nodewarden-web
- 策略类型:ALLOW(拦截)
- 策略规则:包含 → 邮箱(白名单)
- 公共主机名:
nodewarden.xxx.com - 路径:空(表示拦截所有路径)
📌 效果
访问任何 Web 页面都会跳出 Cloudflare Access 登录页。
只有白名单邮箱才能通过,否则全部拦截。
🟩 应用程序二:nodewarden-api(放行 API 给客户端)
🎯 目的
Bitwarden客户端需要访问 API,不应被 Zero Trust 拦截。
✔ 配置
- 应用名称:nodewarden-api
- 策略类型:BYPASS(放行)
- 策略规则:包含 → Everyone
- 公共主机名 + 路径:
nodewarden.xxx.com→api/*nodewarden.xxx.com→identity/*nodewarden.xxx.com→notifications/*
📌 效果
客户端同步、新增、修改、删除等操作全部正常。
Web 前端需要登录,API 目录对客户端开放。
🔧 最终目录权限逻辑
| 路径 | 权限 | 用途 |
|---|---|---|
/ |
需要登录(ALLOW) | Web UI |
api/* |
Everyone(BYPASS) | 客户端 API |
identity/* |
Everyone(BYPASS) | 登录/认证 API |
notifications/* |
Everyone(BYPASS) | 推送/通知 API |
🔒 Zero Trust 策略(推荐)
- 会话有效期:1 个月
- 邮箱白名单:
- Emails ending in:
@xxx.xyz(放行指定域名后缀) - Email: 多个常用邮箱(GitHub / Google / Outlook / QQ / 163 等任意邮箱)
- Emails ending in:
- 登录方式:
- Email获取验证码
- 额外添加 GitHub、Google、微软等 一键登录授权获取邮箱号
Cloudflare 会自动读取授权后的邮箱并匹配白名单,不匹配就会拦截。
因为浏览器本来就登录了 GitHub/Google/微软,所以访问服务非常顺滑。
🎉 最终效果
- Web 前端:必须登录(安全)
- API:客户端可正常访问
- 登录方式灵活:Email / GitHub / Google / 微软等
- 访问体验:安全、快速、无感
这是目前 Nodewarden 项目最安全、最方便 的 Zero Trust 鉴权方案。
@shuai
NodeWarden 「更新&答疑」——汇总贴 、更新v1.4.0,新增云端备份、优化使用体验
https://www.nodeseek.com/post-656516-1
这个好啊,我要设置起来
好东西,明天造
cf里咋感觉和你说的不太一样,能不能贴点图或者更详细点
楼主能不能贴点图或者更详细点
好东西,已收藏
1
哪吒爆破日回来学习