Skip to content

会话、IP 授权与 IP 漂移

会话管理 用于查看仍有效的网关登录、终止陌生设备,并在统一网关场景中排查来源 IP 变化。该入口通常出现在内网穿透和子域网关相关模式中;直连模式的主要控制点是 IP 白名单和主机防火墙。

会话列表

一条会话通常包含登录方式、关联凭据、来源 IP、登录时间、过期时间和备注。不同版本可能还显示 IP 归属信息或已附着的飞牛 token。

可用操作:

  • 详情:查看来源、浏览器标识和时间信息。
  • 备注:给设备或用途添加可识别的名称。
  • 踢出:立即使该会话失效;不会删除 TOTP、Passkey 或账号。
  • 轨迹:查看会话在不同来源 IP 间的续接记录。

过期或不存在的会话 Cookie 会在后续请求中被清理,访问者需要重新登录。遇到登录回跳异常时,从原始业务 Host 再次进入,不要复制或反复刷新认证回调地址。

会话时长和 IP 授权

系统设置 → 会话 中可分别设置普通登录、记住我 和登录后 IP 授权策略;这些策略用于之后创建的新会话。调整会话 IP 漂移开关或迁移窗口时,系统会立即整理现有会话的活跃 IP 与对应自动授权。

登录后 IP 授权行为
跟随会话当前 IP 的自动授权随会话生命周期变化
不自动授权只创建浏览器会话,不额外生成自动 IP 记录
自定义时长为当前 IP 建立固定时长的授权;退出登录时会撤销

手动白名单独立于会话,不会因为退出登录而删除。

IP 漂移

移动网络、上游代理或 Wi-Fi 与蜂窝网络切换都会改变来源 IP。启用会话 IP 漂移后,仍经过网关的会话可以在设定窗口内续接到新的来源地址。轨迹页会记录登录建立和后续恢复事件。

这不是任意网络切换的保证。要能续接,新的请求必须带着有效会话并再次经过 fn-knock;前置代理还必须传递真实客户端 IP。直连模式下,原始端口的后续连接不会重新经过网关,IP 变化后通常需要回到网关入口重新登录。

排查顺序

  1. 在会话列表确认会话是否仍有效,凭据范围是否允许目标 Host。
  2. 确认请求日志中的客户端 IP 是否正确。
  3. 查看轨迹是否出现恢复事件,以及发生时间是否处于迁移窗口。
  4. 检查自动或手动白名单是否仍有效。
  5. 直连模式下,从网关入口重新完成认证后再测试原始端口。

QQ群:1081609274