fix(hysteria): accept Bearer auth and unify rustls provider

spacemeowx2 · spacemeowx2 · commit da81bdf74f76 · 2026-02-11T13:34:55.000+08:00
diff --git a/agent-docs/hysteria.md b/agent-docs/hysteria.md
@@ -39,8 +39,10 @@
 
 ### 认证（HTTP/3 `/auth`）
 - QUIC 建连后，client 必须发送 HTTP 请求到 `/auth`。
-- `Host`（authority）必须为 `hysteria`。
-- 必须带 `Authorization` header（值由服务端配置决定）。
+- 规范要求 `Host`（authority）为 `hysteria`（本项目 client 发送 `https://hysteria/auth`，满足该要求）。
+- 必须带 `Authorization` header（值由服务端配置决定）。实测上游实现存在两种形式：
+  - `Authorization: <password>`
+  - `Authorization: Bearer <password>`（本项目 server 兼容两者）
 - 成功响应的 HTTP status 为 `233`。
 - 可选请求 header：
   - `Hysteria-CC-RX`: 下行 bps（不实现复杂 CC，先按文档要求透传/默认）
@@ -83,6 +85,7 @@
 - 2026-02-10：本地联调验证：`rabbit-digger-pro` 通过 HY2(TCP) 成功代理访问本机 `python -m http.server`（socks5 -> rdp -> hysteria server -> localhost 目标）
 - 2026-02-11：新增 `protocol/hysteria` server（QUIC + H3 `/auth` + TCP/UDP 转发，编译通过）
 - 2026-02-11：新增联调单测：`protocol/hysteria/src/interop_tests.rs`（TCP + UDP）
+- 2026-02-11：兼容 `Authorization: Bearer <password>`；并将 rustls provider 选择收敛到统一入口（避免运行时 panic）
 
 ---
 
@@ -107,3 +110,19 @@ server:
     bind: 127.0.0.1:1080
     net: hy2_local
 ```
+
+---
+
+## 覆盖范围与已知差异（实现完整性说明）
+
+当前实现目标是“能在本项目内自洽运行 + 联调通过”的最小可用子集，已覆盖：
+- QUIC 传输 + HTTP/3 `/auth`（client/server）
+- TCP：`0x401` 建连消息 + 双向转发（client/server）
+- UDP：datagram `0x3/0x2` + 分片重组（client/server）
+- Salamander：作为底层 UDP socket 的可选混淆层（client/server）
+- 真实端口联调单测：`protocol/hysteria/src/interop_tests.rs`
+
+仍未覆盖/可能与规范或上游实现存在差异的点（后续互通性风险来源）：
+- `/auth` 校验：server 目前**不强制** `:authority == hysteria`（规范要求但先放宽兼容），仅校验 path 与 `Authorization`。
+- `/auth` header 语义：`Hysteria-CC-RX`、`Hysteria-Padding` 等仅按“能通过握手/不破坏互通”处理，未实现完整的拥塞控制/带宽协商逻辑。
+- 连接与生命周期：server 侧 H3 driver 目前是最小保活模型（能跑通测试），对更复杂的并发/长连接场景可能还需打磨。
diff --git a/protocol/hysteria/src/client.rs b/protocol/hysteria/src/client.rs
@@ -11,6 +11,7 @@ use rd_interface::{
 };
 use tokio::sync::OnceCell;
 
+use crate::crypto_provider::ensure_rustls_provider_installed;
 use crate::{codec::write_tcp_request, stream::Hy2Stream, transport, udp::Hy2Udp};
 
 #[rd_config]
@@ -81,6 +82,7 @@ impl HysteriaNet {
 
 impl Hy2Client {
     async fn connect(cfg: &HysteriaNetConfig, net: &Net) -> Result<Self> {
+        ensure_rustls_provider_installed();
         let server_addr = resolve_server_addr(net, &cfg.server).await?;
         let server_name = resolve_server_name(cfg)?;
 
diff --git a/protocol/hysteria/src/crypto_provider.rs b/protocol/hysteria/src/crypto_provider.rs
@@ -0,0 +1,8 @@
+pub(crate) fn ensure_rustls_provider_installed() {
+    static ONCE: std::sync::Once = std::sync::Once::new();
+    ONCE.call_once(|| {
+        // Quinn uses rustls. With rustls 0.23+, the process-level provider may need
+        // to be selected explicitly depending on feature resolution.
+        let _ = quinn::rustls::crypto::ring::default_provider().install_default();
+    });
+}
diff --git a/protocol/hysteria/src/interop_tests.rs b/protocol/hysteria/src/interop_tests.rs
@@ -14,13 +14,6 @@ use crate::{
     server::{create_endpoint, serve_endpoint, HysteriaServerConfig},
 };
 
-fn install_rustls_provider() {
-    static ONCE: std::sync::Once = std::sync::Once::new();
-    ONCE.call_once(|| {
-        let _ = quinn::rustls::crypto::ring::default_provider().install_default();
-    });
-}
-
 fn write_test_cert(dir: &TempDir) -> (String, String, String) {
     let rcgen::CertifiedKey { cert, key_pair } =
         rcgen::generate_simple_self_signed(vec!["localhost".into()]).unwrap();
@@ -45,7 +38,6 @@ fn local_net() -> Net {
 
 #[tokio::test]
 async fn test_hy2_server_client_tcp() {
-    install_rustls_provider();
     let dir = TempDir::new().unwrap();
     let (cert_path, key_path, ca_path) = write_test_cert(&dir);
 
@@ -123,7 +115,6 @@ async fn test_hy2_server_client_tcp() {
 
 #[tokio::test]
 async fn test_hy2_server_client_udp() {
-    install_rustls_provider();
     let dir = TempDir::new().unwrap();
     let (cert_path, key_path, ca_path) = write_test_cert(&dir);
 
diff --git a/protocol/hysteria/src/lib.rs b/protocol/hysteria/src/lib.rs
@@ -4,6 +4,7 @@ use server::{HysteriaServer, HysteriaServerConfig};
 
 mod client;
 mod codec;
+mod crypto_provider;
 mod salamander;
 mod server;
 mod stream;
diff --git a/protocol/hysteria/src/server.rs b/protocol/hysteria/src/server.rs
@@ -14,6 +14,7 @@ use rd_std::ContextExt;
 use tokio::io::AsyncReadExt;
 use tokio::sync::mpsc;
 
+use crate::crypto_provider::ensure_rustls_provider_installed;
 use crate::{codec::decode_varint, stream::Hy2Stream, transport};
 
 #[rd_config]
@@ -60,6 +61,7 @@ impl IServer for HysteriaServer {
 }
 
 pub(crate) fn create_endpoint(cfg: &HysteriaServerConfig) -> Result<quinn::Endpoint> {
+    ensure_rustls_provider_installed();
     let bind = match &cfg.bind {
         Address::SocketAddr(sa) => *sa,
         Address::Domain(_, _) => {
@@ -183,18 +185,15 @@ fn is_auth_request(req: &Request<()>, cfg: &HysteriaServerConfig) -> bool {
     if req.uri().path() != "/auth" {
         return false;
     }
-    if req.uri().authority().map(|a| a.as_str()) != Some("hysteria") {
-        return false;
-    }
-    if let Some(auth) = req
+    let Some(auth) = req
         .headers()
         .get("authorization")
         .and_then(|v| v.to_str().ok())
-    {
-        auth == cfg.auth
-    } else {
-        false
-    }
+    else {
+        return false;
+    };
+
+    auth == cfg.auth || auth.strip_prefix("Bearer ").is_some_and(|v| v == cfg.auth)
 }
 
 async fn respond_auth_ok(
