噢，iframe 的我大概理解了，应该是指 iframe 包装第三方页面再发送回去吧

@zjsxwc 我不是很懂，不改第三方代码的情况下，比如我 302 跳转到 baidu ，能在百度的页面添加按钮吗？

@2i2Re2PLMaDnghL
@IvanLi127
iframe 是不是得改第三方网页的代码呀？

```
location / {
index index.html index.htm index.php;
sub_filter '</head>' '</head> <body><a href="http://xxxxxx/logout">logout</a></body>';
sub_filter_once on;
}
```

感谢各位，简单验证了一下，替换文本可以。

@baijuyi
你可以单独开一个提问再 @我，一是这个问题还挺复杂的，与本主题关系也不大，二是也许 V2EX 上还有很多大佬能提供更好的解决方案。

@baijuyi 是的，如果你没法改桥接也没法关防火墙，那就没办法了。
建议你搜索一下你路由器改桥接的方法（很多路由器都固定的账号密码进入超级管理员账号，你把网上找到的都试一遍，有可能某个就进去了），还有部分路由器的超级管理员和普通管理员是一样的，只是访问地址不同，还有部分路由器可以通过访问某一个地址，无需超级管理员账号就可以直接改桥接。

因为光猫的型号太多了，没有通用的教程，所以只能一个一个试。

感觉真要搞还得弄机箱，不然盘位永远不够

我的方案是 金河田 N1+i5-6500 ，用 1U 硬盘可以不改装上到 8 盘位，然后全部 4T 单盘，不搞 raid 用做软链接管理（主要我也没有硬 raid ）

ssd 做系统盘，除了 4T 的，其他全卖了，或者暂时留着单盘使用 4+4+3+2+2 ，1T 的做冷备。

在我的观点里，感觉不是单个服务专用的话，raid0 不如不做，确实是管理方便了，但是下任意一个盘都会导致服务暂停。4T * 2 全部给 PT 这种做 raid0 就还 ok 。但是其他不同服务就都单盘用着吧。

oss ，cos 其实蛮贵的，我 1T 的归档存储用了一年，感觉太贵了，我自己的数据也没那么宝贵，换回冷备了，淘宝多买几个 4T 盘，也就 300 出头，搞个收纳盒存这些冷备硬盘。

@baijuyi 我想大概是防火墙的原因

如果外网无法访问，你可以检查：
1 、检查你的公网 ipv6 和网卡上的是否一致，访问 http://ipv6-test.com/ ，如果不一致可以尝试将光猫改为桥接
2 、外网是否有公网 ipv6 地址，外网的机器访问 http://ipv6-test.com/ ，如果没有那需要先搞定外网机器的 ipv6
3 、检查你的路由器是否有开启防火墙（如果能进命令行用 ip6tables -L ），如果有关掉他或配置自定义放行策略
4 、确认你的 ipv6 地址不是 fe80 开头的，因为那个是内网保留段的地址（大概是这个说法），外网没法访问

@lzl2000 感觉可以，非常感谢

正常情况下 ipv6 的 80/443 端口也是封掉的状态。
其次，可以开防火墙，一般情况下，openwrt 默认是全部入站阻止的，（大部分市面上的路由器也是这样）。
再者，ipv6 被扫到的可能性也不高。

阿里的网络应该是国内最好的了吧
你要出国肯定要再来一台服务器的

其实你没有需求的话，上面的建议都没有太多的参考价值，要么是 64G 都不够用的，要么就是娱乐用的。

我的建议是你可以部署几个监控 /日志系统，elastic，Prometheus，grafana，对你的实验也许也有微小的帮助，如有实验有需求还可以再搞几个中间件部署上去，我见过挺多机器学习代码也会用 redis 来存中间状态什么的。

想折腾的话还可以搞文件服务器，再搞个 onlyoffice，下载机 什么的，还有代码仓库 gitlab 也可以搞起来，atlassian 全家桶也可以整一套，这套下来应该能吃个 20-30G 的内存吧

多开点 chrome 太真实了

多嘴一句，像是 APISIX 他的 Features 里面都只写了 Authentications （身份认证），根本没有地方有写 Authorization （授权），所以那些文档，只能说误导性极强吧。

也就是说理论上，网关啥都能做，但是很多东西在网关做是不合适的（除非是临时解决方案）

你说的轻量的网关，我推荐没有特别好用的网关就直接用 nginx 吧，功能再丰富的可以是 traefik （无外部依赖，golang 开发的，看起来应该是你的技术栈），apisix 也不算重，国内有些 goku 什么的，也挺轻的。

至于你后面的那个例子，鉴权这东西就是要么在网关做，要么后端做，当然了，如果后端本身有了鉴权，网关还要做也行，请求正常走网关的鉴权，要带 key 业务自己带就好了，（或者这个接口本身能写 cookies 之类的也行，主流的几个网关都有请求改写的功能，由网关做请求改写也行）

不过 API 网关还有个比较新的概念，叫 Consumer，我玩意似乎可以做到类似 RBAC 的效果，我正在研究

很多文档上都把身份、权限这些搞混了，把 API 网关"吹"的好像什么都能做

一般来说网关就是类似 nginx 的做流量转发，反向代理，负载均衡、流控、熔断、监控等，kong/apisix 本质上和 ng 做的是同样的工作。

鉴权，以及更 RBAC 的工作本来就不适合在网关做，比如 nginx 的鉴权就是通过 auth_request 插件转发出去给外部做，自己内部只能做到 basicAuth 。apisix 则是通过 wolf-rbac 插件，traefik 则是通过 forwardAuth，几个云服务商的实现不是很清楚，但肯定也不是在网关做，比如阿里云就有 IDaas，在阿里云的 API 网关控制台你也看不到鉴权相关的东西，他们本质上都是“转发”（可能不准确）到外面去实现。

对于 "网关如果要做到认证、鉴权、流控等等，必须要跟业务深度绑定"，这本身对也不对，要看你准备怎么用。

有几个概念：身份认证、授权、鉴权、权限管理

网关其实只做：身份认证。鉴权授权的操作一般来说不在网关上完成。
授权是通过如 OAuth/JWT 插件实现的（网关把请求转发到授权插件上）
鉴权和权限管理一般是后端服务自己实现的。
鉴权和权限管理也可以在网关做，目前 kong/tyk/apisix 之类的似乎都没有做这方面的
**所以一般认为认证、鉴权、留空格确实是和业务深度绑定的**。

但像是阿里云、AWS 等，他们的网关会对接鉴权系统（ IAM ）（实际上是反过来，IAM 对接网关，IAM 才是核心），而不是接 OAuth/JWT 这种简单的插件，这时候，权限管理，授权，鉴权都在 IAM 系统完成。请求进入网关后转发到 IAM，IAM 会直接告诉你你有没有权限访问你请求的资源。这时候鉴权过程就完全不需要业务参与。也就可以做到你说的，和业务解绑。