HTML5中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 817|回复: 0

[文章] HTTP 代理原理及实现(二)

[复制链接]

该用户从未签到

发表于 2015-12-1 11:04:29 | 显示全部楼层 |阅读模式
在上篇《HTTP 代理原理及实现(一)》里,我介绍了 HTTP 代理的两种形式,并用 Node.js 实现了一个可用的普通 / 隧道代理。普通代理可以用来承载 HTTP 流量;隧道代理可以用来承载任何 TCP 流量,包括 HTTP 和 HTTPS。今天这篇文章介绍剩余部分:如何将浏览器与代理之间的流量传输升级为 HTTPS。
上篇文章中实现的代理,是一个标准的 HTTP 服务,针对浏览器的普通请求和 CONNECT 请求,进行不同的处理。Node.js 为创建 HTTP 或 HTTPS Server 提供了高度一致的接口,要将 HTTP 服务升级为 HTTPS 特别方便,只有一点点准备工作要做。
我们知道 TLS 有三大功能:内容加密、身份认证和数据完整性。其中内容加密依赖于密钥协商机制;数据完整性依赖于 MAC(Message authentication code)校验机制;而身份认证则依赖于证书认证机制。一般操作系统或浏览器会维护一个受信任根证书列表,包含在列表之中的证书,或者由列表中的证书签发的证书都会被客户端信任。
提供 HTTPS 服务的证书可以自己生成,然后手动加入到系统根证书列表中。但是对外提供服务的 HTTPS 网站,不可能要求每个用户都手动导入你的证书,所以更常见的做法是向 CA(Certificate Authority,证书颁发机构)申请。根据证书的不同级别,CA 会进行不同级别的验证,验证通过后 CA 会用他们的证书签发网站证书,这个过程通常是收费的(有免费的证书,最近免费的 Let’s Encrypt 也很火,这里不多介绍)。由于 CA 使用的证书都是由广泛内置在各系统中的根证书签发,所以从 CA 获得的网站证书会被绝大部分客户端信任。
通过 CA 申请证书很简单,本文为了方便演示,采用自己签发证书的偷懒办法。现在广泛使用的证书是 x509.v3 格式,使用以下命令可以创建:
  1. openssl genrsa -out private.pem
  2. 2048
  3. openssl req -new -x509 -key private.pem -out public.crt -days 99999
复制代码
第二行命令运行后,需要填写一些证书信息。需要注意的是 Common Name 一定要填写后续提供 HTTPS 服务的域名或 IP。例如你打算在本地测试,Common Name 可以填写 127.0.0.1。证书创建好之后,再将 public.crt 添加到系统受信任根证书列表中。为了确保添加成功,可以用浏览器验证一下:
接着,可以改造之前的 Node.js 代码了,需要改动的地方不多:
  1. var http = require('http');
  2. var https = require('https');
  3. var fs = require('fs');
  4. var net = require('net');
  5. var url = require('url');

  6. function request(cReq, cRes) {
  7.     var u = url.parse(cReq.url);

  8.     var options = {
  9.         hostname : u.hostname,
  10.         port     : u.port || 80,
  11.         path     : u.path,      
  12.         method     : cReq.method,
  13.         headers     : cReq.headers
  14.     };

  15.     var pReq = http.request(options, function(pRes) {
  16.         cRes.writeHead(pRes.statusCode, pRes.headers);
  17.         pRes.pipe(cRes);
  18.     }).on('error', function(e) {
  19.         cRes.end();
  20.     });

  21.     cReq.pipe(pReq);
  22. }

  23. function connect(cReq, cSock) {
  24.     var u = url.parse('http://' + cReq.url);

  25.     var pSock = net.connect(u.port, u.hostname, function() {
  26.         cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n');
  27.         pSock.pipe(cSock);
  28.     }).on('error', function(e) {
  29.         cSock.end();
  30.     });

  31.     cSock.pipe(pSock);
  32. }

  33. var options = {
  34.     key: fs.readFileSync('./private.pem'),
  35.     cert: fs.readFileSync('./public.crt')
  36. };

  37. https.createServer(options)
  38.         .on('request', request)
  39.         .on('connect', connect)
  40.         .listen(**, '0.0.0.0');
复制代码
可以看到,除了将 http.createServer 换成 https.createServer,增加证书相关配置之外,这段代码没有任何改变。这也是引入 TLS 层的妙处,应用层不需要任何改动,就能获得诸多安全特性。
运行服务后,只需要将浏览器的代理设置为 HTTPS 127.0.0.1:** 即可,功能照旧。这样改造,只是将浏览器到代理之间的流量升级为了 HTTPS,代理自身逻辑、与服务端的通讯方式,都没有任何变化。
最后,还是写段 Node.js 代码验证下这个 HTTPS 代理服务:
  1. var https = require('https');

  2. var options = {
  3.     hostname : '127.0.0.1',
  4.     port     : **,
  5.     path     : 'imququ.com:80',
  6.     method     : 'CONNECT'
  7. };

  8. //禁用证书验证,不然自签名的证书无法建立 TLS 连接
  9. process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";

  10. var req = https.request(options);

  11. req.on('connect', function(res, socket) {
  12.     socket.write('GET / HTTP/1.1\r\n' + 'Host: imququ.com\r\n' + 'Connection: Close\r\n' + '\r\n');

  13.     socket.on('data', function(chunk) {
  14.         console.log(chunk.toString());
  15.     });

  16.     socket.on('end', function() {
  17.         console.log('socket end.');
  18.     });
  19. });

  20. req.end();
复制代码
这段代码和上篇文章最后那段的区别只是 http.request 换成了 https.request,运行结果完全一样,这里就不贴了。本文所有代码可以从这个仓库获得:proxy-demo
本文就写到这里,大家有什么问题欢迎给我评论留言。
    作者:Jerry Qu

HTML5中国微信

小黑屋|关于我们|HTML5论坛|友情链接|手机版|HTML5中国 ( 京ICP备11006447号 京公网安备:11010802018489号  

GMT+8, 2017-1-19 04:12

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表