博客 (48)

Ollama 默认是仅本地访问，接口地址是：http://localhost:11434

开放外部访问需要设置两个环境变量：

OLLAMA_HOST=0.0.0.0
OLLAMA_ORIGINS=*

第一步，设置环境变量

macOS：

在终端中运行命令

launchctl setenv OLLAMA_HOST "0.0.0.0"
launchctl setenv OLLAMA_ORIGINS "*"

Windows：

打开“环境变量”配置框

添加两个用户变量：

Linux：

使用 systemctl 设置环境变量

调用 systemctl edit ollama.service 编辑 systemd 服务配置

在 [Service] 下方添加：

[Service]
Environment="OLLAMA_HOST=0.0.0.0"
Environment="OLLAMA_ORIGINS=*"

第二步，重启 Ollama

环境变量配置完成后，重启 Ollama。

第三步，开放防火墙端口

Windows：

进入“高级安全 Windows Defender 防火墙” → “入站规则” → 新建规则 → 允许 TCP 端口 11434。

第四步，验证

获取本机局域网 IP。

Windows：ipconfig

Linux/macOS：ifconfig

访问网址：http://<ip>:11434

若返回 Ollama is running 则表示连接正常。

本文介绍 Token 认证和 HMAC 认证两种方式。

一、Token 接口认证方式

原理：

客户端使用账号密码等信息登录，服务器验证通过后生成一个 Token 发送给客户端。客户端在后续的请求中携带这个 Token，服务器通过验证 Token 来确认用户的身份和权限。

应用场景：移动应用、Web 应用（特别是 SPA）

优点：

无状态性，即服务器不需要存储用户的会话信息。

易于实现跨域认证。

缺点：

Token 可能被窃取，应使用 HTTPS、不暴露在 URL 中、使用 HttpOnly 的 Cookie、对 Session ID 进行验证、设置合理过期时间、对 Token 进行加密等措施加强防范。

二、HMAC 接口认证方式

原理：

客户端将消息M与密钥K连接起来，通过哈希函数计算得到 HMAC 值，发送给服务器。服务器收到请求后，使用相同的密钥和请求参数重新计算 HMAC 值，如果与客户端发送的签名一致，即是合法请求。

优点：

安全性较高，攻击者很难伪造 HMAC 值，截获并篡改数据也无法通过服务端验证。

计算效率较高，哈希函数（如 MD5、SHA-1、SHA-256 等）计算效率比较高。

缺点：

密钥的更新和管理比较麻烦。

扩展：

在消息体中添加时间戳以防止重放攻击。

加密隐私数据：可以使用对称加密算法（如 AES）或非对称加密算法（如 RSA、ECC 等）对部分隐私数据进行加密。非对称算法虽然更安全，但速度较慢，如需加密大量数据，可以考虑使用对称加密算法进行加密，然后使用非对称加密算法对对称密钥进行加密。

连接 Filezilla Server 时提示“服务器的证书未知。请小心验证证书以确信该服务器可信任。”

解决办法：登录服务器，打开 Administrator FileZilla Server，菜单中选择 Server，Configure，点击左侧的 Administration，切换到 Connection security 页，点击 Generate new 按钮，OK。

Protocols settings 的 FTP and FTP over TLS(FTPS) 中同样也需要点击 Generate new。

1. 使 lua 支持 resty.http

2. 在 access_by_lua_block 代码块中实现远程鉴权：

   #鉴权-START
   resolver 223.5.5.5;  # 使用公共 DNS
   access_by_lua_block {
       local http = require("resty.http")
       local httpc = http.new()
       httpc:set_timeout(500)  -- 连接超时
       local res, err = httpc:request_uri("https://鉴权地址/", {
           method = "GET",
           headers = {
               ["X-Real-IP"] = ngx.var.remote_addr,
               ["User-Agent"] = ngx.var.http_user_agent,
               ["X-Forwarded-Host"] = ngx.var.host,
               ["X-Forwarded-Uri"] = ngx.var.request_uri,
           },
           ssl_verify = false, -- 禁用 SSL 验证
           timeout = 500,     -- 读取超时
       })
   
       if not res then
           ngx.log(ngx.ERR, "Failed to request: " .. err)
       end
           
       if res and res.status == 403 then
           ngx.exit(ngx.HTTP_FORBIDDEN)
           -- return ngx.redirect("https://一个显示403友好信息的页面.html")
       end
   }
   #鉴权-END

   注意更改接口地址和友情显示 403 页面地址。

   本示例仅捕获 403 状态码，500、408 等其它异常情况视为允许访问，请根据业务需求自行添加状态码的判断。

   若超时也会进入 if not res then 代码块。

   建议将此代码部署在 nginx 主配置文件的 http 代码块中（宝塔面板中的路径：/www/server/nginx/nginx/conf/nginx.conf），如果你只想为单个网站鉴权，也可以放在网站配置文件的 server 块中。
   

3. 若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

附

1. 直接输出字符串

   ngx.header.content_type = "text/plain";
   ngx.say("hello world!")

2. 输出到日志

   ngx.log(ngx.ERR, "Response status: " .. res.status)

   日志在网站的 站名.error.log 中查看。

   宝塔面板查看方式：日志 - 网站日志 - 异常

3. 若想获取服务器 CPU 使用率等信息并传递给远程鉴权接口，请参考此文。

4. 常见问题

   no resolver defined to resolve

   原因：没有定义 DNS 解析器

   解决方法：在 http 块或 server 块中添加 resolver 8.8.8.8 valid=30s;，当然使用接入商自己的公共 DNS 可能更合适。

   unable to get local issuer certificate

   原因：没有配置 SSL 证书信息

   解决方法：添加 request_uri 参数：

   ssl_verify = true,  -- 启用 SSL 验证
   ssl_trusted_certificate = "证书路径",  -- 指定 CA 证书路径

   或

   ssl_verify = false,  -- 禁用 SSL 验证

5. 若您不想用 lua，可以用 nginx 原生自带的  auth_request 模块来实现。

1. 安装依赖

   sudo yum install -y epel-release
   sudo yum install -y lua lua-devel gcc make

2. 下载安装 LuaRocks

   访问 LuaRocks 的官方网站 获取最新版本的 LuaRocks。你可以使用 wget 命令下载：

   wget https://luarocks.org/releases/luarocks-x.x.x.tar.gz
   tar zxpf luarocks-x.x.x.tar.gz
   cd luarocks-x.x.x
   ./configure && make && sudo make install

3. 设置环境变量（可选）

   通常，LuaRocks 会自动处理这一步，但如果需要手动设置，可以编辑 ~/.bash_profile 或 ~/.bashrc 文件，添加以下行：

   export PATH=$PATH:/usr/local/bin

   然后运行以下命令使更改生效：

   source ~/.bash_profile

4. 验证安装

   luarocks --version

Windows 11 家庭版在安装时不能直接选择离线帐户，只能使用微软帐户登录，无论有没有连网。

没有微软帐户的朋友也不用担心，可以注册一个。

实在不想注册的，也可以选择创建新帐号，名称生日随便填，在验证这步选择跳过即可。后面会让你设置一个 PIN 码，相当于登录密码。安装完成后，在设置中创建本地帐户。

无法完成向远程代理 URL 发送请求。基础连接已经关闭:发送时发生错误。

解决办法：

IIS中“管理服务”的SSL证书过期了，停止，选择新证书，应用，启动。

如果证书名称都相同（例如“alias”），可以先选中一个启动，在 VS Web 部署的设置中验证连接，弹出“证书错误”，点击“查看详细信息”，检查“颁发给”中的域名是否正确，正确的话安装证书。

ASP.NET 发布到 Web 部署简易教程

本文使用 ASP.NET 6 版本 Senparc.Weixin.Sample.MP 示例项目改造。

第一步 注册多公众号

方法一：打开 appsettings.json 文件，在 SenparcWeixinSetting 节点内添加数组节点 Items，该对象类型同 SenparcWeixinSetting。

//Senparc.Weixin SDK 设置
"SenparcWeixinSetting": {
  "IsDebug": true,
  "Token": "",
  "EncodingAESKey": "",
  "WeixinAppId": "",
  "WeixinAppSecret": "",
  "Items": [
    {
      "IsDebug": true,
      "Token": "a",
      "EncodingAESKey": "a",
      "WeixinAppId": "a",
      "WeixinAppSecret": "a"
    },
    {
      "IsDebug": true,
      "Token": "b",
      "EncodingAESKey": "b",
      "WeixinAppId": "b",
      "WeixinAppSecret": "b"
    }
  ]
}

方法二：修改 Program.cs 文件，在 UseSenparcWeixin 方法中注册多个公众号信息。

var registerService = app.UseSenparcWeixin(app.Environment,
    null /* 不为 null 则覆盖 appsettings  中的 SenparcSetting 配置*/,
    null /* 不为 null 则覆盖 appsettings  中的 SenparcWeixinSetting 配置*/,
    register => { /* CO2NET 全局配置 */ },
    (register, weixinSetting) =>
    {
        //注册公众号信息（可以执行多次，注册多个公众号）
        //register.RegisterMpAccount(weixinSetting, "【盛派网络小助手】公众号");
        foreach (var mp in 从数据库或配置文件中获取的公众号列表)
        {
            register.RegisterMpAccount(new SenparcWeixinSetting
            {
                //IsDebug = true,
                WeixinAppId = mp.AppId,
                WeixinAppSecret = mp.AppSecret,
                Token = mp.Token,
                EncodingAESKey = mp.EncodingAeskey,
            }, mp.Name);
        }
    });

完成后，我们可以从 Config.SenparcWeixinSetting.Items 获取这些信息。

第二步 接入验证与消息处理

打开 WeixinController 控制器，将构造函数改写为：

public WeixinController(IHttpContextAccessor httpContextAccessor)
{
    AppId = httpContextAccessor.HttpContext!.Request.Query["appId"];
    var MpSetting = Services.MPService.MpSettingByAppId(AppId);
    Token = MpSetting.Token;
    EncodingAESKey = MpSetting.EncodingAESKey;
}

示例中 Services.MPService.MpSettingByAppId() 方法实现从 Config.SenparcWeixinSetting.Items 返回指定 appId 的公众号信息。

为使 IHttpContextAccessor 注入生效，打开 Program.cs，在行

builder.Services.AddControllersWithViews();

下方插入

builder.Services.AddHttpContextAccessor();

这样，我们就可以在构造函数中直接获取地址栏中的 appId 参数，找到对应的公众号进行消息处理。

第三步 消息自动回复中的 AppId

打开 CustomMessageHandler.cs，将 

private string appId = Config.SenparcWeixinSetting.MpSetting.WeixinAppId;
private string appSecret = Config.SenparcWeixinSetting.MpSetting.WeixinAppSecret;

替换为：

private string appId = null!;
private string appSecret = null!;

并在构造函数中插入

appId = postModel.AppId;
appSecret = Services.MPService.MpSettingByAppId(postModel.AppId).WeixinAppSecret;

这样，本页中使用的 appId / appSecret 会从 postModel 中获取，而非默认公众号。postModel 已在 WeixinController 中赋值当前的 appId。

改造后，我们可以在 OnTextRequestAsync() 等处理消息的方法中可以判断 appId 来处理不同的消息。

第四步 其它功能和接口

其它功能和接口均可用指定的 AppId 和对应的 AppSecret 进行调用。

文件已正常部署且能正常访问到，但点击“文件已部署，立即认证”按钮时，然后被提示：访问文本资源失败，请调整后重试。原因是微信验证请求是 http 协议，如果网站强制启用 https 则无法完成验证。

在 ASP.NET 6 中可打开 Program.cs 文件，临时注释掉下行即可：

app.UseHttpsRedirection();

已使用指定的进程(“Web Management Service”)连接到远程计算机，但未能验证服务器的证书。如果你信任该服务器，请再次连接并允许不信任的证书。  在以下位置了解更多信息: https://go.microsoft.com/fwlink/?LinkId=221672#ERROR_CERTIFICATE_VALIDATION_FAILED。

基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系。

根据验证过程，远程证书无效。