站里不少佬友都有自建 NAS。众所周知，选择了自建，就不再有大公司来为系统安全兜底，自己成为了系统安全的第一责任人。一种确保安全的方式是关闭所有公网端口，使用 tailscale 之类的技术搭建虚拟专用网络，将外界的威胁拒之门外。但是这种方式需要在每一台设备上面都安装客户端，使用起来有些不方便。使用 cf tunnel，frp 端口转发等方式将内网服务暴露到公网上，是一种更方便的选择。 
从安全的角度考虑，暴露在公网的服务，开启 2FA 不是一个可选项，而是必选。并非所有的自部署服务都支持 2FA。对于不支持 2FA 的服务，接入可靠的第三方 SSO（单点登录）是一个比较好的选择。如果将服务接入 Google 的 OIDC 验证，那么用户必须要先登录 Google ，才能登录自部署的服务。这样服务就受到了等同于 Google 账号的 2FA 保护。同时 Google  SSO 还提供许多额...