docs: add VitePress documentation site and GitHub Pages workflow

Add docs/ with TypeScript, VitePress, and pnpm: guides (intro through Docker),
examples for OAuth modes and upstream, detailed YAML configuration reference,
and Deploy Docs workflow with VITEPRESS_BASE=/connect/ for project Pages.

Made-with: Cursor

Author: whatwewant

.github/workflows/docs.yml

@@ -0,0 +1,72 @@
+name: Deploy Docs
+
+on:
+  push:
+    branches:
+      - master
+      - main
+    paths:
+      - 'docs/**'
+      - '.github/workflows/docs.yml'
+  workflow_dispatch:
+
+permissions:
+  contents: read
+  pages: write
+  id-token: write
+
+concurrency:
+  group: pages
+  cancel-in-progress: false
+
+jobs:
+  build:
+    runs-on: ubuntu-latest
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+        with:
+          fetch-depth: 0
+
+      - name: Setup pnpm
+        uses: pnpm/action-setup@v4
+        with:
+          version: 9
+
+      - name: Setup Node.js
+        uses: actions/setup-node@v4
+        with:
+          node-version: '20'
+          cache: 'pnpm'
+          cache-dependency-path: docs/pnpm-lock.yaml
+
+      - name: Install dependencies
+        run: |
+          cd docs
+          pnpm install --frozen-lockfile
+
+      - name: Build
+        env:
+          VITEPRESS_BASE: /connect/
+        run: |
+          cd docs
+          pnpm run build
+
+      - name: Setup Pages
+        uses: actions/configure-pages@v4
+
+      - name: Upload artifact
+        uses: actions/upload-pages-artifact@v3
+        with:
+          path: docs/.vitepress/dist
+
+  deploy:
+    environment:
+      name: github-pages
+      url: ${{ steps.deployment.outputs.page_url }}
+    runs-on: ubuntu-latest
+    needs: build
+    steps:
+      - name: Deploy to GitHub Pages
+        id: deployment
+        uses: actions/deploy-pages@v4

docs/.gitignore

@@ -0,0 +1,3 @@
+node_modules
+.vitepress/cache
+.vitepress/dist

docs/.vitepress/config.ts

@@ -0,0 +1,62 @@
+import { defineConfig } from 'vitepress'
+
+// 本地开发默认为 '/'。部署到 GitHub Pages 项目页时 CI 会设置 VITEPRESS_BASE=/connect/
+const base = process.env.VITEPRESS_BASE ?? '/'
+
+export default defineConfig({
+  base,
+  lang: 'zh-CN',
+  title: 'GoZoox Connect',
+  description:
+    '轻量、强大的认证连接器（Auth Connect），支持 OAuth2、Doreamon、GitHub、飞书等。',
+  cleanUrls: false,
+  themeConfig: {
+    logo: '/logo.svg',
+    nav: [
+      { text: '指南', link: '/guide/introduction', activeMatch: '^/guide/' },
+      { text: '示例', link: '/examples/', activeMatch: '^/examples/' },
+      { text: 'GitHub', link: 'https://github.com/go-zoox/connect' }
+    ],
+    sidebar: {
+      '/guide/': [
+        {
+          text: '入门',
+          items: [
+            { text: '简介', link: '/guide/introduction' },
+            { text: '安装', link: '/guide/installation' },
+            { text: '快速开始', link: '/guide/quick-start' },
+            { text: '部署形态', link: '/guide/architecture' }
+          ]
+        },
+        {
+          text: '使用手册',
+          items: [
+            { text: '命令行', link: '/guide/cli' },
+            { text: '配置', link: '/guide/config' },
+            { text: 'Docker 与编排', link: '/guide/docker' }
+          ]
+        }
+      ],
+      '/examples/': [
+        {
+          text: '示例',
+          items: [
+            { text: '概览', link: '/examples/' },
+            { text: 'Doreamon 模式', link: '/examples/doreamon' },
+            { text: 'GitHub OAuth', link: '/examples/github' },
+            { text: '飞书 OAuth', link: '/examples/feishu' },
+            { text: '上游代理（单站点）', link: '/examples/upstream' },
+            { text: '无认证穿透', link: '/examples/none' }
+          ]
+        }
+      ]
+    },
+    socialLinks: [{ icon: 'github', link: 'https://github.com/go-zoox/connect' }],
+    footer: {
+      message: '基于 MIT 许可证发布',
+      copyright: 'Copyright © GoZoox'
+    },
+    search: { provider: 'local' },
+    outline: { level: [2, 3] }
+  }
+})

docs/examples/doreamon.md

@@ -0,0 +1,45 @@
+# Doreamon 模式
+
+适合已开通 **Doreamon**（或兼容同一 OAuth 契约的服务）的应用：`oauth2[].name` 为 `doreamon`，回调形如 `/login/doreamon/callback`。
+
+## 环境变量启动
+
+```bash
+export SECRET_KEY=$(openssl rand -hex 16)
+export UPSTREAM=https://your-demo-site.example.com
+
+export CLIENT_ID=<CLIENT_ID>
+export CLIENT_SECRET=<CLIENT_SECRET>
+export REDIRECT_URI=https://connect.example.com/login/doreamon/callback
+
+connect doreamon
+```
+
+若不用 `UPSTREAM`，可同时指定：
+
+```bash
+export FRONTEND=http://127.0.0.1:8000
+export BACKEND=http://127.0.0.1:8001
+```
+
+## Docker Compose 片段
+
+```yaml
+services:
+  connect:
+    image: whatwewant/connect-doreamon:v1
+    ports:
+      - '8080:8080'
+    environment:
+      SECRET_KEY: ${SECRET_KEY}
+      UPSTREAM: ${UPSTREAM}
+      CLIENT_ID: ${CLIENT_ID}
+      CLIENT_SECRET: ${CLIENT_SECRET}
+      REDIRECT_URI: ${REDIRECT_URI}
+```
+
+## IdP 侧检查清单
+
+- Redirect URI 与 `REDIRECT_URI` 完全一致（协议、端口、路径）。
+- Client ID / Secret 与 Connect 环境变量一致。
+- 生产环境使用 HTTPS，并与会话 Cookie 策略一致。

docs/examples/feishu.md

@@ -0,0 +1,23 @@
+# 飞书 OAuth
+
+飞书开放平台创建应用后，拿到 App ID / App Secret，回调一般为 `/login/feishu/callback`（与配置的 `oauth2[].name` 一致）。
+
+## CLI
+
+```bash
+export SECRET_KEY=$(openssl rand -hex 16)
+export UPSTREAM=https://your-internal-gateway.example.com
+
+export CLIENT_ID=<FEISHU_APP_ID>
+export CLIENT_SECRET=<FEISHU_APP_SECRET>
+export REDIRECT_URI=https://connect.example.com/login/feishu/callback
+
+connect feishu
+```
+
+## 注意事项
+
+- 飞书侧「重定向 URL」需与白名单一致。
+- 与其它 OAuth 模式相同：必须提供 **`UPSTREAM`** 或 **`FRONTEND`+`BACKEND`**。
+
+更细的 Scope、租户开通流程请参阅 [飞书开放平台文档](https://open.feishu.cn/)（外链可能变更，以官网为准）。

docs/examples/github.md

@@ -0,0 +1,33 @@
+# GitHub OAuth
+
+使用 GitHub OAuth App 作为登录提供方：`auth.provider` 为 `github`，回调路径 `/login/github/callback`。
+
+## CLI
+
+```bash
+export SECRET_KEY=$(openssl rand -hex 16)
+export UPSTREAM=https://httpbin.zcorky.com
+
+export CLIENT_ID=<GITHUB_APP_CLIENT_ID>
+export CLIENT_SECRET=<GITHUB_APP_CLIENT_SECRET>
+export REDIRECT_URI=http://127.0.0.1:8080/login/github/callback
+
+connect github
+```
+
+## GitHub 控制台配置要点
+
+1. Authorization callback URL 填写与 `REDIRECT_URI` 相同。
+2. 若仅允许部分 GitHub 用户，可在配置里设置 **`auth.allow_usernames`**（参见 [配置](../guide/config.md)）。
+
+## YAML 片段
+
+参考 `conf/config.oauth.yml.example`，将 `oauth2` 中 `name` 改为 `github` 并填入 GitHub 发放的 Client ID/Secret。
+
+```yaml
+oauth2:
+  - name: github
+    client_id: ${GITHUB_CLIENT_ID}
+    client_secret: ${GITHUB_CLIENT_SECRET}
+    redirect_uri: https://connect.example.com/login/github/callback
+```

docs/examples/index.md

@@ -0,0 +1,13 @@
+# 示例概览
+
+以下为可复制粘贴的起点；生产环境请替换密钥、域名与回调 URL。
+
+| 示例 | 场景 |
+|------|------|
+| [Doreamon](./doreamon) | 使用 Doreamon IdP，OAuth + 上游 |
+| [GitHub](./github) | GitHub OAuth App |
+| [飞书](./feishu) | 飞书开放平台 OAuth |
+| [上游代理](./upstream) | 单一 `upstream`，YAML 最小集 |
+| [无认证](./none) | `connect none`，纯转发 |
+
+完整字段说明仍以 [配置](../guide/config.md) 与源码为准。

docs/examples/none.md

@@ -0,0 +1,22 @@
+# 无认证穿透
+
+`auth.mode` 为 **`none`** 时不挂载 OAuth /登录中间件，只做反向代理，适用于：
+
+- 上游已有网关鉴权；
+- 内网调试；
+- 临时暴露静态站点。
+
+## CLI
+
+```bash
+export UPSTREAM=http://127.0.0.1:3000
+# 或使用 FRONTEND + BACKEND
+
+connect none
+```
+
+同样必须满足：**upstream** 或 **frontend + backend** 其一。
+
+## 风险提示
+
+无认证模式不会对访客做强校验，请勿直接暴露在公网敏感资产前。

docs/examples/upstream.md

@@ -0,0 +1,42 @@
+# 上游代理（单站点）
+
+仅代理到一个 HTTP(S) 上游时，使用 **`upstream`** 块或环境变量 **`UPSTREAM`**。
+
+## YAML 最小示例
+
+对应仓库 `conf/config.upstream.yml.example`：
+
+```yaml
+port: 8080
+secret_key: go-zoox
+session_max_age: 86400
+
+upstream:
+  host: 127.0.0.1
+  port: 8000
+
+oauth2:
+  - name: doreamon
+    client_id: <CLIENT_ID>
+    client_secret: <CLIENT_SECRET>
+    redirect_uri: http://127.0.0.1:8080/login/doreamon/callback
+```
+
+启动：
+
+```bash
+connect serve -c ./conf/config.upstream.yml
+```
+
+## 环境变量等价写法
+
+```bash
+export UPSTREAM=http://127.0.0.1:8000
+export CLIENT_ID=...
+export CLIENT_SECRET=...
+export REDIRECT_URI=http://127.0.0.1:8080/login/doreamon/callback
+
+connect doreamon
+```
+
+区别：YAML 可同时声明多条 `oauth2`、自定义 `routes`；纯 env 适合容器注入。

docs/guide/architecture.md

@@ -0,0 +1,43 @@
+# 部署形态
+
+Connect 向外暴露一个 HTTP 服务（默认 `:8080`），向内则有两种典型接法。
+
+## 形态 A：单一 Upstream
+
+只配置 **upstream**：所有（通过鉴权后的）请求按路径转发到同一目标（协议 + 主机 + 端口）。
+
+适用于：
+
+- 单体站点、静态 + API 同源的反向代理；
+- 已有网关后面的单一 origin。
+
+配置示例见仓库 `conf/config.upstream.yml.example` 与 [示例：上游代理](/examples/upstream)。
+
+YAML 中与 upstream 相关的键为 `upstream.host` / `upstream.port` / `upstream.protocol`（或通过环境变量 `UPSTREAM` 一次性注入 URL）。
+
+## 形态 B：Frontend + Backend
+
+同时配置 **frontend** 与 **backend**：
+
+- **frontend**：一般为静态资源或 SPA 所在地址；
+- **backend**：API 服务；默认会以 `/api` 等为前缀做路由与重写（可用配置关闭前缀重写）。
+
+适用于前后端分离、静态与 API 域名或端口不一致的情况。
+
+参考 `conf/config.oauth.yml.example`、`conf/config.full.example`。
+
+## 与环境变量的关系
+
+子命令 `doreamon` / `github` / `feishu` / `none` 会在内存中生成一份 `Config`，等价于手写 YAML 的一部分；你也可以始终使用 `connect serve -c file.yml` 完全显式控制。
+
+无论哪种形态，OAuth 回调路径通常为：
+
+```txt
+http(s)://<connect-host>:<port>/login/<oauth2-name>/callback
+```
+
+`<oauth2-name>` 与配置里 `oauth2[].name` 一致（如 `doreamon`、`github`、`feishu`）。
+
+## 会话与安全
+
+生产环境务必设置稳定的 `secret_key`，并通过 HTTPS + 正确的 `redirect_uri` 注册到 IdP。关于 Cookie `Secure` 与 `SESSION_SECURE` 等行为，以运行时配置为准（参见源码中 `ApplyDefault` 与 OAuth 中间件）。