查了两天这个问题.. 太难了.. core registry proxy 交差着看, 而且虽然有失败认证的报错, 但最后返回是200. nginx 里面还没有 xforward 信息.

Harbor 代码也有不合理的地方, 其实有些请求不需要任何权限即可访问, 但是如果请求带了basic auth信息, Harbor也会验证, 密码不对就会导致用户被锁. 这样可以被攻击啊?

Trace + log, 太重要了, 否则出了问题, 真是难查, 代码还不熟悉的情况下.