Analyse des cas d'utilisation https dans Node.js

Cette fois je vais vous apporter une analyse des cas d'utilisation de https dans Node.js, quelles sont les précautions d'utilisation de https dans Node.js, voici des cas pratiques, jetons un coup d'oeil une fois.

ModuleAperçu

L'importance de ce module n'a fondamentalement pas besoin d'être soulignée. Aujourd’hui, alors que les problèmes de sécurité des réseaux deviennent de plus en plus graves, l’adoption du HTTPS est une tendance inévitable pour les sites Web.

Dans nodejs, le module https est fourni pour compléter les fonctions liées au HTTPS. À en juger par la documentation officielle, cela ressemble beaucoup à l'utilisation du module http.

Cet article contient principalement deux parties :

1. Une explication introductive du module https à travers des exemples du client et du serveur.

2. Comment accéder à des sites Web avec des certificats de sécurité non fiables. (Prenez 12306 comme exemple)

En raison de l'espace limité, cet article ne peut pas trop expliquer le protocole HTTPS et les systèmes techniques associés. Si vous avez des questions, veuillez laisser un message à. échange.

Exemple client

L'utilisation est très similaire au module http, sauf que l'adresse demandée est le protocole https. Le code est le suivant. :

var https = require('https');
https.get('https://www.baidu.com', function(res){
  console.log('status code: ' + res.statusCode);
  console.log('headers: ' + res.headers);
  res.on('data', function(data){
    process.stdout.write(data);
  });
}).on('error', function(err){
  console.error(err);
});

Exemple de serveur

La fourniture de services HTTPS au monde extérieur nécessite un certificat HTTPS. Si vous disposez déjà d'un certificat HTTPS, vous pouvez ignorer l'étape de génération du certificat. Sinon, vous pouvez vous référer aux étapes suivantes

pour générer un certificat

1. Créez un répertoire pour stocker le certificat.

mkdir cert
cd cert

2. Générez une clé privée.

openssl genrsa -out chyingp-key.pem 2048

3. Générez une demande de signature de certificat (csr signifie Demande de signature de certificat).

openssl req -new \
 -sha256
 -key chyingp-key.key.pem \
 -out chyingp-csr.pem \
 -subj "/C=CN/ST=Guandong/L=Shenzhen/O=YH Inc/CN=www.chyingp.com"

4. Générer un certificat.

openssl x509 \
 -req -in chyingp-csr.pem \
 -signkey chyingp-key.pem \
 -out chyingp-cert.pem

Serveur HTTPS

Le code est le suivant :

var https = require('https');
var fs = require('fs');
var options = {
  key: fs.readFileSync('./cert/chyingp-key.pem'), // 私钥
  cert: fs.readFileSync('./cert/chyingp-cert.pem') // 证书
};
var server = https.createServer(options, function(req, res){
  res.end('这是来自HTTPS服务器的返回');
});
server.listen(3000);

Comme je n'ai pas le nom de domaine www.chyingp .com, alors configurez d'abord l'hôte local

127.0.0.1 www.chyingp.com

pour démarrer le service et visitez http://www.chyingp.com : 3000 dans le navigateur. Notez que le navigateur vous demandera que le certificat n'est pas fiable, cliquez simplement sur Faire confiance et poursuivez votre visite.

Exemple avancé : accéder à un site Web avec un certificat de sécurité non fiable

Voici notre 12306 préféré à titre d'exemple. Lorsque nous accédons à la page d'achat de billets de 12306 https://kyfw.12306.cn/otn/regist/init via le navigateur, Chrome nous empêchera d'y accéder. En effet, le certificat de 12306 est émis par lui-même et Chrome ne peut pas le confirmer. .Sa sécurité.

Pour faire face à cette situation, les méthodes suivantes peuvent être utilisées :

1. Arrêter les visites : les villageois impatients d'obtenir des billets pour rentrer chez eux pour le Nouvel An disent c'est inacceptable.

2. Ignorez l'avertissement de sécurité et continuez à visiter : dans la plupart des cas, le navigateur l'autorisera, mais l'invite de sécurité sera toujours là.

3. Importer le certificat racine CA de 12306 : le navigateur obéit et pense que l'accès est sécurisé. (En fait, il existe quand même des conseils de sécurité car l'algorithme de signature utilisé par 12306 n'est pas assez sécurisé)

Exemple : Déclenchement de restrictions de sécurité

De même , Vous rencontrerez également le même problème lorsque vous effectuerez des requêtes via le client https du nœud. Faisons une expérience. Le code est le suivant :

var https = require('https');
https.get('https://kyfw.12306.cn/otn/regist/init', function(res){  
  res.on('data', function(data){
    process.stdout.write(data);
  });
}).on('error', function(err){
  console.error(err);
});

Exécutez le code ci-dessus et obtenez le message d'erreur suivant, ce qui signifie que le certificat de sécurité n'est pas fiable et que l'accès continu est refusé.

{ Erreur : certificat auto-signé dans la chaîne de certificats
à Erreur (native)
à TLSSocket. (_tls_wrap.js:1055:38)
à émetNone (events.js:86:13)
sur TLSSocket.emit (events.js:185:7)
sur TLSSocket._finishInit (_tls_wrap.js:580:8)
sur TLSWrap.ssl.onhandshakedone (_tls_wrap.js:412:38) code : 'SELF_SIGNED_CERT_IN_CHAIN' }

ps：个人认为这里的错误提示有点误导人，12306网站的证书并不是自签名的，只是对证书签名的CA是12306自家的，不在可信列表里而已。自签名证书，跟自己CA签名的证书还是不一样的。

类似在浏览器里访问，我们可以采取如下处理：

1. 不建议：忽略安全警告，继续访问；

2. 建议：将12306的CA加入受信列表；

方法1：忽略安全警告，继续访问

非常简单，将 rejectUnauthorized 设置为 false 就行，再次运行代码，就可以愉快的返回页面了。

// 例子：忽略安全警告
var https = require('https');
var fs = require('fs');
var options = { 
  hostname: 'kyfw.12306.cn',
  path: '/otn/leftTicket/init',
  rejectUnauthorized: false // 忽略安全警告
};
var req = https.get(options, function(res){ 
  res.pipe(process.stdout);  
});
req.on('error', function(err){
  console.error(err.code);
});

方法2：将12306的CA加入受信列表

这里包含3个步骤：

1. 下载 12306 的CA证书

2. 将der格式的CA证书，转成pem格式

3. 修改node https的配置

1、下载 12306 的CA证书

在12306的官网上，提供了CA证书的 下载地址 ，将它保存到本地，命名为 srca.cer。

2、将der格式的CA证书，转成pem格式

https初始化client时，提供了 ca 这个配置项，可以将 12306 的CA证书添加进去。当你访问 12306 的网站时，client就会用ca配置项里的 ca 证书，对当前的证书进行校验，于是就校验通过了。

需要注意的是，ca 配置项只支持 pem 格式，而从12306官网下载的是der格式的。需要转换下格式才能用。关于 pem、der的区别，可参考 这里 。

openssl x509 -in srca.cer -inform der -outform pem -out srca.cer.pem

3、修改node https的配置

修改后的代码如下，现在可以愉快的访问12306了。

// 例子：将12306的CA证书，加入我们的信任列表里
var https = require('https');
var fs = require('fs');
var ca = fs.readFileSync('./srca.cer.pem');
var options = { 
 hostname: 'kyfw.12306.cn',
 path: '/otn/leftTicket/init',
 ca: [ ca ]
};
var req = https.get(options, function(res){ 
 res.pipe(process.stdout); 
});
req.on('error', function(err){
 console.error(err.code);
});

相信看了本文案例你已经掌握了方法，更多精彩请关注php中文网其它相关文章！

推荐阅读：

设计模式的策略模式怎样在前端中使用

怎样使用JS+H5实现微信摇一摇

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!