反向代理与真实 IP

指纹校验依赖客户端 IP。若通过 Nginx/Caddy 等反向代理转发，请确保正确设置 x-forwarded-for，否则会导致：

• strict/flexible 模式下指纹不稳定；
• 玩家拿到 token 后仍频繁出现 401 Fingerprint mismatch。

指纹模式选择

• fingerprint_mode=strict：更安全（IP+UA+salt），但移动网络/UA 变化更容易误伤。
• fingerprint_mode=flexible：更宽松（IP+salt），适合易变网络环境，但抗 token 泄露能力较弱。

密钥轮换

修改 config/config.json 中的 secret_key 或 fingerprint_salt 会导致历史 token 全部失效；建议在活动开始前确定并锁定配置。