HTTP 代理原理及实现(二)

网络 网络管理
在上篇《HTTP 代理原理及实现(一)》里,我介绍了 HTTP 代理的两种形式,并用 Node.js 实现了一个可用的普通 / 隧道代理。普通代理可以用来承载 HTTP 流量;隧道代理可以用来承载任何 TCP 流量,包括 HTTP 和 HTTPS。今天这篇文章介绍剩余部分:如何将浏览器与代理之间的流量传输升级为 HTTPS。

在上篇《HTTP 代理原理及实现(一)》里,我介绍了 HTTP 代理的两种形式,并用 Node.js 实现了一个可用的普通 / 隧道代理。普通代理可以用来承载 HTTP 流量;隧道代理可以用来承载任何 TCP 流量,包括 HTTP 和 HTTPS。今天这篇文章介绍剩余部分:如何将浏览器与代理之间的流量传输升级为 HTTPS。

上篇文章中实现的代理,是一个标准的 HTTP 服务,针对浏览器的普通请求和 CONNECT 请求,进行不同的处理。Node.js 为创建 HTTP 或 HTTPS Server 提供了高度一致的接口,要将 HTTP 服务升级为 HTTPS 特别方便,只有一点点准备工作要做。

我们知道 TLS 有三大功能:内容加密、身份认证和数据完整性。其中内容加密依赖于密钥协商机制;数据完整性依赖于 MAC(Message authentication code)校验机制;而身份认证则依赖于证书认证机制。一般操作系统或浏览器会维护一个受信任根证书列表,包含在列表之中的证书,或者由列表中的证书签发的证书都会被客户端信任。

提供 HTTPS 服务的证书可以自己生成,然后手动加入到系统根证书列表中。但是对外提供服务的 HTTPS 网站,不可能要求每个用户都手动导入你的证书,所以更常见的做法是向 CA(Certificate Authority,证书颁发机构)申请。根据证书的不同级别,CA 会进行不同级别的验证,验证通过后 CA 会用他们的证书签发网站证书,这个过程通常是收费的(有免费的证书,最近免费的 Let’s Encrypt 也很火,这里不多介绍)。由于 CA 使用的证书都是由广泛内置在各系统中的根证书签发,所以从 CA 获得的网站证书会被绝大部分客户端信任。

通过 CA 申请证书很简单,本文为了方便演示,采用自己签发证书的偷懒办法。现在广泛使用的证书是 x509.v3 格式,使用以下命令可以创建:

  1. openssl genrsa -out private.pem 2048 
  2.  
  3. openssl req -new -x509 -key private.pem -out public.crt -days 99999 

第二行命令运行后,需要填写一些证书信息。需要注意的是 Common Name 一定要填写后续提供 HTTPS 服务的域名或 IP。例如你打算在本地测试,Common Name 可以填写 127.0.0.1。证书创建好之后,再将 public.crt 添加到系统受信任根证书列表中。为了确保添加成功,可以用浏览器验证一下:

 [[157958]]

接着,可以改造之前的 Node.js 代码了,需要改动的地方不多:

  1. JSvar http = require('http'); 
  2.  
  3. var https = require('https'); 
  4.  
  5. var fs = require('fs'); 
  6.  
  7. var net = require('net'); 
  8.  
  9. var url = require('url'); 
  10.  
  11. function request(cReq, cRes) { 
  12.  
  13. var u = url.parse(cReq.url); 
  14.  
  15. var options = { 
  16.  
  17. hostname : u.hostname, 
  18.  
  19. port : u.port || 80, 
  20.  
  21. path : u.path, 
  22.  
  23. method : cReq.method, 
  24.  
  25. headers : cReq.headers 
  26.  
  27. }; 
  28.  
  29. var pReq = http.request(options, function(pRes) { 
  30.  
  31. cRes.writeHead(pRes.statusCode, pRes.headers); 
  32.  
  33. pRes.pipe(cRes); 
  34.  
  35. }).on('error'function(e) { 
  36.  
  37. cRes.end(); 
  38.  
  39. }); 
  40.  
  41. cReq.pipe(pReq); 
  42.  
  43.  
  44. function connect(cReq, cSock) { 
  45.  
  46. var u = url.parse('http://' + cReq.url); 
  47.  
  48. var pSock = net.connect(u.port, u.hostname, function() { 
  49.  
  50. cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n'); 
  51.  
  52. pSock.pipe(cSock); 
  53.  
  54. }).on('error'function(e) { 
  55.  
  56. cSock.end(); 
  57.  
  58. }); 
  59.  
  60. cSock.pipe(pSock); 
  61.  
  62.  
  63. var options = { 
  64.  
  65. key: fs.readFileSync('./private.pem'), 
  66.  
  67. cert: fs.readFileSync('./public.crt'
  68.  
  69. }; 
  70.  
  71. https.createServer(options) 
  72.  
  73. .on('request', request) 
  74.  
  75. .on('connect', connect) 
  76.  
  77. .listen(8888, '0.0.0.0'); 

可以看到,除了将 http.createServer 换成 https.createServer,增加证书相关配置之外,这段代码没有任何改变。这也是引入 TLS 层的妙处,应用层不需要任何改动,就能获得诸多安全特性。

运行服务后,只需要将浏览器的代理设置为 HTTPS 127.0.0.1:8888 即可,功能照旧。这样改造,只是将浏览器到代理之间的流量升级为了 HTTPS,代理自身逻辑、与服务端的通讯方式,都没有任何变化。

***,还是写段 Node.js 代码验证下这个 HTTPS 代理服务:

  1. JSvar https = require('https'); 
  2.  
  3. var options = { 
  4.  
  5. hostname : '127.0.0.1'
  6.  
  7. port : 8888, 
  8.  
  9. path : 'imququ.com:80'
  10.  
  11. method : 'CONNECT' 
  12.  
  13. }; 
  14.  
  15. //禁用证书验证,不然自签名的证书无法建立 TLS 连接 
  16.  
  17. process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0"
  18.  
  19. var req = https.request(options); 
  20.  
  21. req.on('connect'function(res, socket) { 
  22.  
  23. socket.write('GET / HTTP/1.1\r\n' + 
  24.  
  25. 'Host: imququ.com\r\n' + 
  26.  
  27. 'Connection: Close\r\n' + 
  28.  
  29. '\r\n'); 
  30.  
  31. socket.on('data'function(chunk) { 
  32.  
  33. console.log(chunk.toString()); 
  34.  
  35. }); 
  36.  
  37. socket.on('end'function() { 
  38.  
  39. console.log('socket end.'); 
  40.  
  41. }); 
  42.  
  43. }); 
  44.  
  45. req.end(); 

这段代码和上篇文章***那段的区别只是 http.request 换成了 https.request,运行结果完全一样,这里就不贴了。

责任编辑:何妍 来源: Jerry Qu的小站
相关推荐

2015-12-02 14:10:56

HTTP网络协议代理原理

2024-04-26 09:04:13

2020-07-10 09:04:55

HTTPS浏览器网络协议

2014-10-22 09:36:41

TCPIP

2020-05-15 08:10:14

HTTP3应用协议

2015-03-17 09:44:08

2021-07-20 10:30:46

Golanghttp语言

2009-06-04 10:41:52

Struts工作原理

2015-07-10 12:23:05

JsPatch实现原理

2018-11-30 09:03:55

HTTP缓存Web

2013-07-09 14:36:24

2021-06-10 08:29:15

Rollup工具前端

2022-03-17 08:55:43

本地线程变量共享全局变量

2023-12-18 09:39:13

PreactHooks状态管理

2012-02-08 10:37:42

Java反射

2010-07-12 17:00:14

SNMP代理

2024-01-08 08:36:29

HTTPGo代理服务器

2015-03-10 13:55:31

JavaScript预解析原理及实现

2017-07-19 15:25:16

iOS开发ARKitOpen GL
点赞
收藏

51CTO技术栈公众号