会话管理与 IP 轨迹

这页解决什么问题

这页专门讲清楚：

1. 后台里的 会话管理 页面能看到什么
2. 详情、踢出、轨迹 这三个操作分别怎么理解
3. IP 漂移轨迹 到底记录了什么

先明确：这个页签主要出现在反代模式和子域模式

会话管理 这个页签只会在：

• 反代模式
• 子域模式

下显示。

直连模式的重点是：

• 登录后对白名单 IP 放行

而这两种模式更强调：

• 统一入口
• 长会话
• 上游代理或入口链路变化后的续接恢复

所以“当前在线会话”和“IP 漂移轨迹”在反代模式和子域模式这类统一网关场景里更有价值。

会话列表里能看到什么

会话列表主要展示仍然有效的登录会话，典型字段包括：

• 会话 ID
• 登录方式
• 凭证名称
• 备注
• 当前 IP
• 登录时间
• 过期时间

在部分环境下，你还会看到更直观的来源位置辅助信息。

登录方式 现在可能包括：

• TOTP
• Passkey
• OIDC / 外部账号

如果是外部账号登录，事件和通知里还会尽量带上提供商名称，例如 Google、Microsoft 或 GitHub。

另外，最近这里还有两个值得注意的变化：

1. 列表里的 备注 现在可以直接编辑
2. 如果某条会话还没有单独备注，系统可能会先继承它关联白名单记录上的备注

这样做的好处是：

• 你可以更快把“这是谁的设备”“这次登录是干什么的”标出来
• 也更容易把会话和它关联的自动白名单对应起来

过期时间 本身也不再一定是固定值。

它会受到：

• 系统设置 → 凭据

里普通登录 / 记住我 有效期设置的影响。

凭证名旁边的飞牛图标是什么

最近如果你在会话列表里看到凭证名旁边出现一个飞牛图标，通常表示：

• 这条登录会话下已经附着了一个或多个飞牛 token

这更适合下面这些场景：

1. 想确认飞牛 App 是否已经复用到了当前登录会话
2. 想看同一条会话是不是还在被飞牛网页或 App 继续使用
3. 想分辨“这是同一条会话的附着续接”，还是“又新建了一条陌生会话”

点击或悬停后，当前通常能看到：

• 附着 token 数量
• 最近活跃时间
• 当前 IP
• token 摘要

列表上的 3 个操作

详情

适合你想看一条会话的完整信息时使用。

详情里通常会补充展示：

• IP 归属信息
• User-Agent
• 更完整的时间信息

踢出

这个操作会让该会话立刻失效，需要重新登录。

适合这些情况：

• 某台设备丢了
• 你不再信任某个浏览器
• 怀疑有陌生会话

需要注意：

• 踢出会话，不等于删除 TOTP
• 也不等于删除 Passkey

它只是让当前这次登录不再继续有效。

轨迹

这是这组页面里最容易被忽略、但也最有价值的功能。

点击后会进入：

• IP 漂移轨迹

IP 漂移轨迹 到底记录什么

它不是一个笼统的“审计日志”，而是专门记录：

1. 这次会话最初从哪个 IP 建立
2. 会话使用过程中，来源 IP 是否发生变化
3. 如果发生变化，系统是通过什么方式把会话续接恢复到新 IP 的

你会看到的典型信息包括：

• 当前会话摘要
• 恢复次数
• 轨迹跨度
• 最近一次变化时间
• 时间线上的每个节点

时间线里通常有哪些事件

登录建立

表示这次会话最初建立时的来源 IP。

IP 恢复

表示系统检测到来源 IP 已变化，并成功把会话续接到了新的来源 IP。

时间线还会记录：

• 漂移前 IP
• 漂移后 IP
• 两边的大致归属地
• 发生时间

轨迹里的两种恢复来源怎么理解

IP 恢复 事件会带上来源类型。

飞牛指纹续接恢复

内部标识为：

• fnos-token

可以把它理解为：

• 通过飞牛侧的续接能力，把当前访问恢复到了新的来源 IP

会话漂移续接恢复

内部标识为：

• proxy-session

可以把它理解为：

• 现有代理会话继续有效，但系统发现来源 IP 已变化，于是把会话和对应放行关系迁移到了新的 IP

对普通用户来说，最重要的不是记住内部代号，而是理解：

轨迹页记录的是“这个会话的来源 IP 怎样从旧地址移动到了新地址”。

附着的飞牛 token 会存活多久

这类附着 token 不再单独按固定活动窗口存活，而是跟随所属登录会话的有效期。

这意味着：

• 会话还有效时，飞牛侧附着可以继续续接
• 会话被踢出、主动退出或自然过期后，对应附着也会一起失效

所以如果你在排查“为什么 App 还连得上”或“为什么图标消失了”，优先还是要回到这条登录会话本身去看。

这对网页和飞牛 App 的实际体验意味着什么

反代模式

在反代模式下，只要你还在继续使用：

• 浏览器网页
• 飞牛 App

并且这些请求仍然是通过 fknock 的统一入口进入，系统就会在检测到 IP 变化后，自动把这次会话关联的自动白名单迁到新 IP。

这也是为什么很多人在：

• Wi-Fi
• 蜂窝网络
• 不同出口代理

之间切换时，反代模式通常不会立刻中断体验。

直连模式

直连模式下情况不同。

因为你后续访问飞牛或其他服务时，往往已经是在访问：

• 5666
• 8080
• 其他原始端口

这些请求本身不会重新经过 7999 的认证入口。

所以当 IP 变化后，系统不会仅凭你继续访问原始端口，就自动完成白名单迁移。你通常需要：

1. 先回到 7999 的网页认证入口
2. 刷新一次页面
3. 让系统把自动白名单迁到当前新 IP
4. 再回到飞牛 App 或其他业务端口继续使用

什么时候特别值得看轨迹

下面这些情况，优先打开轨迹页通常最有效：

1. 手机网络在 Wi-Fi 和蜂窝网络之间切换后，访问表现异常
2. 你在反代链路后面观察到来源 IP 经常变化
3. 怀疑会话不是在同一个出口网络上继续使用
4. 想确认“这是正常续接”，还是“真的有人换了来源 IP”

和登录日志有什么区别

两者不要混为一谈。

登录日志

回答的是：

• 谁登录过
• 登录成功还是失败
• 用了什么方式，例如 TOTP、Passkey 或外部账号

会话管理与 IP 轨迹

回答的是：

• 哪些会话现在还活着
• 这条会话后来有没有发生来源 IP 变化

常见问题

我在直连模式里找不到会话页签

这是预期行为。

会话页签主要出现在：

• 反代模式

轨迹页里只有一条“登录建立”

这通常说明：

• 这条会话建立后一直没有发生 IP 变化

这不是功能坏了，反而往往说明链路比较稳定。

恢复次数很多，是不是一定有风险

不一定。

有时只是因为：

• 移动网络频繁换出口
• 上游代理链路在变化

但如果恢复次数异常频繁，仍建议结合：

• 登录日志
• 反代入口日志
• 实际访问网络环境

一起判断。

相关阅读

• 日志、会话与安全防护
• 认证体系总览
• 用 fknock 搭建反代访问