导读:企业安全只认自家网关和域名,又希望用上云端知识库和 AI?Baklib 支持反向代理和 Token 鉴权,知识库走你的域名和 Nginx,照样享受云端托管和 AI 能力。本文手把手教你配置。
一、你是不是也这样?
作为运维、安全或 IT 负责人,你可能经常遇到:
- 安全合规要求:公司规定对外服务必须走统一网关、使用自有域名,不允许直接暴露第三方域名。
- 想用云端又怕不合规:知识库、帮助中心放云端省心,但安全团队要求「流量必须经自家 Nginx/网关」。
- 两难:要么放弃云端能力自己搭一套,要么说服安全开绿灯——两边都费劲。
痛点很清晰:既要合规(自家网关 + 自有域名),又要享受云端的托管、更新和 AI 能力。
二、Baklib 的方案:反向代理 + Token 鉴权
Baklib 的「反向代理模式」就是为这类场景设计的:
用户访问你的域名(如doc.公司.com)→ 请求先到你的 Nginx → Nginx 带着 Token 转发到 Baklib 云端 → 用户看到的仍是你的域名,内容由 Baklib 托管
这样:
- 对外:用户只接触你的域名和你的服务器,符合「只认自家网关和域名」的要求。
- 对内:内容创建、更新、AI 能力都在 Baklib 云端完成,你只管维护 Nginx 配置和 Token。
核心优势
| 传统顾虑 | Baklib 反向代理 + Token 鉴权 |
|---|---|
| 流量必须走自家网关 | 可以,用户访问的就是你的域名和 Nginx |
| 不能暴露第三方域名 | 对外只暴露你的域名,Baklib 仅作回源 |
| 云端是否安全可控 | Token 鉴权,泄漏可一键重置 |
| 想用云端 AI/托管 | 内容在云端,能力照常用 |
三、手把手教学:怎么配
步骤 1:在 Baklib 开启反向代理模式
- 登录 Baklib 管理后台,进入站点的「域名配置」。
- 选择「反向代理模式」(而非默认的 CNAME 等)。
- 填写「入口域名」:即用户最终访问的域名,如
doc.yourcompany.com(需在 DNS 解析到你的 Nginx 服务器)。 - 填写「部署路径」:该站点在入口域名下的目录,如
/help、/docs;若放在根目录则留空。注意:路径不能以/结尾。 - 复制页面上提供的 Nginx 配置示例(每个站点会有一个 Token,示例里已含
proxy_set_header baklib-x-token <Token>)。
步骤 2:在 Nginx 上配置反向代理
- 在你的服务器上安装 Nginx(若已有则跳过)。
- 为入口域名新建站点配置(或打开现有配置),在
server块内按「部署路径」写location。 - 将 Baklib 提供的示例粘贴进去,把其中的「入口域名」「部署路径」「Token」替换成你在 Baklib 填写的实际值。
- 若有多个 Baklib 站点聚合到同一域名,就写多个
location,每个对应一个路径和对应站点的 Token。 - 执行
nginx -t检查配置,无误后nginx -s reload重载。
步骤 3:DNS 与 HTTPS(可选)
- 把「入口域名」的 A 记录解析到 Nginx 所在服务器 IP。
- 若需 HTTPS:在 Nginx 上配置 SSL 证书并监听 443,Baklib 侧仍按 HTTP 回源即可。
步骤 4:验证
浏览器访问
https://你的入口域名/部署路径/(例如 https://doc.yourcompany.com/help/),应能打开对应 Baklib 站点,且地址栏始终是你的域名。四、配置要点速查
| 项目 | 说明 |
|---|---|
| 入口域名 | 用户访问的域名,DNS 需解析到你的 Nginx 服务器 |
| 部署路径 | 站点在该域名下的目录,如 /help;根目录留空;Baklib 里不能以 / 结尾 |
| Token | 在 Nginx 里用 proxy_set_header baklib-x-token <Token> 传给 Baklib,用于鉴权 |
| 重置凭证 | Token 泄漏时在 Baklib 域名配置页点击「重置」,并同步更新 Nginx 配置中的 Token |
五、适合谁用?
| 角色 | 使用场景 |
|---|---|
| 运维 / IT | 已有 Nginx 或统一网关,希望把知识库/帮助中心挂到自有域名下 |
| 安全 / 合规 | 要求对外只暴露自家域名和网关,流量可审计、可控制 |
| 技术负责人 | 既要满足安全策略,又要用云端托管和 AI,减少自建维护成本 |
六、常见问题
Q:Token 会暴露给前端用户吗?
A:不会。Token 只配置在 Nginx 和 Baklib 后台,由 Nginx 在回源请求头里携带,用户浏览器看不到。
A:不会。Token 只配置在 Nginx 和 Baklib 后台,由 Nginx 在回源请求头里携带,用户浏览器看不到。
Q:多个站点可以共用一个域名吗?
A:可以。这就是「多站点聚合」:同一入口域名下用不同部署路径(如
A:可以。这就是「多站点聚合」:同一入口域名下用不同部署路径(如
/help、/docs)区分多个 Baklib 站点。Q:Token 泄漏了怎么办?
A:在 Baklib 域名配置页点击「重置 Token」,然后把 Nginx 配置里的 Token 换成新值并重载 Nginx。
A:在 Baklib 域名配置页点击「重置 Token」,然后把 Nginx 配置里的 Token 换成新值并重载 Nginx。
Q:必须用 Nginx 吗?
A:Baklib 提供的是 Nginx 配置示例。其他支持反向代理的网关(如 Caddy、Traefik)只要能设置相同的请求头(如
A:Baklib 提供的是 Nginx 配置示例。其他支持反向代理的网关(如 Caddy、Traefik)只要能设置相同的请求头(如
baklib-x-token、baklib-x-script-name 等),也可以按同样逻辑配置。七、快速开始
- 登录 Baklib:访问 baklib.com 注册/登录。
- 进入域名配置:在站点设置里找到「域名配置」,选择「反向代理模式」。
- 填入口域名与路径:填写你的域名和部署路径,复制 Nginx 示例。
- 在 Nginx 上配置:粘贴示例、替换域名/路径/Token,重载 Nginx。
- 解析 DNS:把入口域名指到 Nginx 服务器,浏览器访问验证。
💡 小结:自有域名 + Token 鉴权,让你在「只认自家网关和域名」的前提下,照样用上 Baklib 的云端知识库和 AI 能力。合规与效率可以兼得。
相关阅读:
- 多站点发布怎么用:一次编辑多站同步
- 如何用 Baklib 搭建专业的在线帮助中心
本文与短视频 SV-F03「自有域名+鉴权」配套。如需视频演示,请关注 Baklib 官方视频号。
