Protección de acceso en FreshRSS mediante Authentik
Proteger FreshRSS con Authentik permite reforzar la seguridad en el acceso a la página de login del lector RSS, manteniendo al mismo tiempo la API libre para que aplicaciones externas y clientes móviles puedan seguir utilizándola sin interrupciones.
Requisitos previos
Antes de comenzar, asegúrate de tener configurado lo siguiente:
- Authentik instalado.
- FreshRSS instalado.
- Configuración básica en Authentik.
- Conocimientos mínimos sobre cómo crear Applications, Providers y Outposts en Authentik (guía aquí).
- Caddy funcionando como proxy inverso.
- La directiva de Authentik para Caddy.
Características
- Acceso centralizado y seguro con Authentik.
- API abierta sin autenticación para mantener la compatibilidad con apps externas.
- Configuración sencilla usando Proxy Provider.
- Compatible con clientes móviles que utilicen la API de FreshRSS.
Pasos de configuración
Crear la aplicación en Authentik
-
Entra en el panel de administración de Authentik.
-
Ve a Applications → Create with Provider.
-
En la sección de Application rellena:
- Nombre:
FreshRSS - Slug:
freshrss - (Opcional) añade icono o descripción.
- Nombre:
-
Selecciona Proxy Provider para continuar.
Configurar el Proxy Provider
- Asigna un nombre al proveedor, por ejemplo:
freshrss-proxy. - Selecciona el flujo de autenticación que utilices normalmente (ejemplo:
default-provider-authorization-explicit-consent). - Marca Forward auth (single application).
- En “External host” introduce el dominio donde sirves FreshRSS, por ejemplo:
https://rss.ejemplo.com - En Unauthenticated Paths añade:
^/api/.*
De esta forma, la API queda accesible sin necesidad de autenticarse, lo que asegura que apps y clientes externos sigan funcionando.
Asignar la aplicación al Outpost
- Entra en Outposts dentro de Authentik.
- Edita el que estés usando (habitualmente authentik Embedded Outpost en despliegues con contenedores).
- En Applications, añade la aplicación de FreshRSS.
- Guarda cambios.
Integración con Caddy
Recuerda añadir en el Caddyfile la directiva de Authentik para que la integración sea efectiva. Más información en: Directiva de Authentik para Caddy.
Conclusión
Con esta integración, Authentik controla el acceso a la página de login de FreshRSS. Mientras tanto, la API queda libre, garantizando que los clientes móviles o las aplicaciones que consuman los feeds puedan seguir funcionando sin problema. Seguridad extra sin sacrificar la usabilidad.