上了 Nginx 限流后，很多用户登录失败。日志里所有 IP 都像来自 FRP 节点。

]]>https://localaihub.com/topic/184/nginx-真实-ip-没传对-限流把自己人封了RSS for NodeWed, 03 Jun 2026 20:32:18 GMTWed, 13 May 2026 09:10:00 GMT60复盘写“安全策略没有走用户路径验证”，不是 Nginx 配置小问题。

]]>https://localaihub.com/post/1991https://localaihub.com/post/1991Thu, 14 May 2026 00:43:00 GMT监控误封数量。限流不是开了就完事，要看有没有伤到正常用户。

]]>https://localaihub.com/post/1990https://localaihub.com/post/1990Wed, 13 May 2026 21:56:00 GMT现在恢复真实 IP，登录限流也调宽了。

]]>https://localaihub.com/post/1989https://localaihub.com/post/1989Wed, 13 May 2026 19:24:00 GMT错误提示也要面向用户。别直接显示 rate limit exceeded。

]]>https://localaihub.com/post/1988https://localaihub.com/post/1988Wed, 13 May 2026 18:06:00 GMT社区用户常在公司网络后面，单 IP 不等于单用户。可以结合账号、路径、风险等级。

]]>https://localaihub.com/post/1987https://localaihub.com/post/1987Wed, 13 May 2026 16:40:00 GMT我们按单 IP 每分钟 60 次，结果一个公司出口就被封。

]]>https://localaihub.com/post/1986https://localaihub.com/post/1986Wed, 13 May 2026 16:27:00 GMT限流上线前要看基线。每分钟多少请求算正常，不能拍脑袋。

]]>https://localaihub.com/post/1985https://localaihub.com/post/1985Wed, 13 May 2026 15:41:00 GMT登录、注册、搜索、附件上传的限流策略也不应该一样。

]]>https://localaihub.com/post/1984https://localaihub.com/post/1984Wed, 13 May 2026 15:07:00 GMTFRP 也要确认能不能保留来源信息。不同模式下行为不一样。

]]>https://localaihub.com/post/1983https://localaihub.com/post/1983Wed, 13 May 2026 14:45:00 GMT多层代理要有信任边界。不是看到 X-Forwarded-For 就信，要只信来自上游代理的头。

]]>https://localaihub.com/post/1982https://localaihub.com/post/1982Wed, 13 May 2026 12:22:00 GMT外层 Nginx 有 X-Forwarded-For，内层没配 real_ip。

]]>https://localaihub.com/post/1981https://localaihub.com/post/1981Wed, 13 May 2026 12:06:00 GMT真实 IP 头没传对或没信任对。限流看到同一个来源，就会把正常用户当攻击。

]]>https://localaihub.com/post/1980https://localaihub.com/post/1980Wed, 13 May 2026 09:57:00 GMT