在上篇《HTTP 代理原理及實現(一)》裡,我介紹了 HTTP 代理的兩種形式,並用 Node.js 實現了一個可用的普通 / 隧道代理。普通代理可以用來承載 HTTP 流量;隧道代理可以用來承載任何 TCP 流量,包括 HTTP 和 HTTPS。今天這篇文章介紹剩餘部分:如何將瀏覽器與代理之間的流量傳輸升級為 HTTPS。
上篇文章中實現的代理,是一個標準的 HTTP 服務,針對瀏覽器的普通請求和 CONNECT 請求,進行不同的處理。Node.js 為建立 HTTP 或 HTTPS Server 提供了高度一致的介面,要將 HTTP 服務升級為 HTTPS 特別方便,只有一點點準備工作要做。
我們知道 TLS 有三大功能:內容加密、身份認證和資料完整性。其中內容加密依賴於金鑰協商機制;資料完整性依賴於 MAC(Message authentication code)校驗機制;而身份認證則依賴於證書認證機制。一般作業系統或瀏覽器會維護一個受信任根證書列表,包含在列表之中的證書,或者由列表中的證書籤發的證書都會被客戶端信任。
提供 HTTPS 服務的證書可以自己生成,然後手動加入到系統根證書列表中。但是對外提供服務的 HTTPS 網站,不可能要求每個使用者都手動匯入你的證書,所以更常見的做法是向 CA(Certificate Authority,證書頒發機構)申請。根據證書的不同級別,CA 會進行不同級別的驗證,驗證通過後 CA 會用他們的證書籤髮網站證書,這個過程通常是收費的(有免費的證書,最近免費的 Let’s Encrypt 也很火,這裡不多介紹)。由於 CA 使用的證書都是由廣泛內建在各系統中的根證書籤發,所以從 CA 獲得的網站證書會被絕大部分客戶端信任。
通過 CA 申請證書很簡單,本文為了方便演示,採用自己簽發證書的偷懶辦法。現在廣泛使用的證書是 x509.v3 格式,使用以下命令可以建立:
|
1 2 |
openssl genrsa -out private.pem 2048 openssl req -new -x509 -key private.pem -out public.crt -days 99999 |
第二行命令執行後,需要填寫一些證書資訊。需要注意的是 Common Name 一定要填寫後續提供 HTTPS 服務的域名或 IP。例如你打算在本地測試,Common Name 可以填寫 127.0.0.1。證書建立好之後,再將 public.crt 新增到系統受信任根證書列表中。為了確保新增成功,可以用瀏覽器驗證一下:
接著,可以改造之前的 Node.js 程式碼了,需要改動的地方不多:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 |
var http = require('http'); var https = require('https'); var fs = require('fs'); var net = require('net'); var url = require('url'); function request(cReq, cRes) { var u = url.parse(cReq.url); var options = { hostname : u.hostname, port : u.port || 80, path : u.path, method : cReq.method, headers : cReq.headers }; var pReq = http.request(options, function(pRes) { cRes.writeHead(pRes.statusCode, pRes.headers); pRes.pipe(cRes); }).on('error', function(e) { cRes.end(); }); cReq.pipe(pReq); } function connect(cReq, cSock) { var u = url.parse('http://' + cReq.url); var pSock = net.connect(u.port, u.hostname, function() { cSock.write('HTTP/1.1 200 Connection Establishedrnrn'); pSock.pipe(cSock); }).on('error', function(e) { cSock.end(); }); cSock.pipe(pSock); } var options = { key: fs.readFileSync('./private.pem'), cert: fs.readFileSync('./public.crt') }; https.createServer(options) .on('request', request) .on('connect', connect) .listen(8888, '0.0.0.0'); |
可以看到,除了將 http.createServer 換成 https.createServer,增加證書相關配置之外,這段程式碼沒有任何改變。這也是引入 TLS 層的妙處,應用層不需要任何改動,就能獲得諸多安全特性。
執行服務後,只需要將瀏覽器的代理設定為 HTTPS 127.0.0.1:8888 即可,功能照舊。這樣改造,只是將瀏覽器到代理之間的流量升級為了 HTTPS,代理自身邏輯、與服務端的通訊方式,都沒有任何變化。
最後,還是寫段 Node.js 程式碼驗證下這個 HTTPS 代理服務:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
var https = require('https'); var options = { hostname : '127.0.0.1', port : 8888, path : 'imququ.com:80', method : 'CONNECT' }; //禁用證書驗證,不然自簽名的證書無法建立 TLS 連線 process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0"; var req = https.request(options); req.on('connect', function(res, socket) { socket.write('GET / HTTP/1.1rn' + 'Host: imququ.comrn' + 'Connection: Closern' + 'rn'); socket.on('data', function(chunk) { console.log(chunk.toString()); }); socket.on('end', function() { console.log('socket end.'); }); }); req.end(); |
這段程式碼和上篇文章最後那段的區別只是 http.request 換成了 https.request,執行結果完全一樣,這裡就不貼了。本文所有程式碼可以從這個倉庫獲得:proxy-demo。
本文就寫到這裡,大家有什麼問題歡迎給我評論留言。