簡(jiǎn)介

現(xiàn)在的網(wǎng)站沒(méi)有 HTTPS 都不好意思見(jiàn)人了.

超文本傳輸安全協(xié)議（英語(yǔ)：HyperText Transfer Protocol Secure，縮寫(xiě)：HTTPS；常稱(chēng)為 HTTP over TLS、HTTP over SSL 或 HTTP Secure）是一種通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全通信的傳輸協(xié)議。HTTPS 經(jīng)由 HTTP 進(jìn)行通信，但利用 SSL/TLS 來(lái)加密數(shù)據(jù)包。HTTPS 開(kāi)發(fā)的主要目的，是提供對(duì)網(wǎng)站服務(wù)器的身份認(rèn)證，保護(hù)交換數(shù)據(jù)的隱私與完整性。這個(gè)協(xié)議由網(wǎng)景公司（Netscape）在 1994 年首次提出，隨后擴(kuò)展到互聯(lián)網(wǎng)上。

HTTPS 的信任基于預(yù)先安裝在操作系統(tǒng)中的證書(shū)頒發(fā)機(jī)構(gòu)（CA）。因此，到一個(gè)網(wǎng)站的 HTTPS 連接僅在這些情況下可被信任：

• 瀏覽器正確地實(shí)現(xiàn)了 HTTPS 且操作系統(tǒng)中安裝了正確且受信任的證書(shū)頒發(fā)機(jī)構(gòu)；
• 證書(shū)頒發(fā)機(jī)構(gòu)僅信任合法的網(wǎng)站；
• 被訪問(wèn)的網(wǎng)站提供了一個(gè)有效的證書(shū)，也就是說(shuō)它是一個(gè)由操作系統(tǒng)信任的證書(shū)頒發(fā)機(jī)構(gòu)簽發(fā)的（大部分瀏覽器會(huì)對(duì)無(wú)效的證書(shū)發(fā)出警告）；
• 該證書(shū)正確地驗(yàn)證了被訪問(wèn)的網(wǎng)站（例如，訪問(wèn)https://example.com時(shí)收到了簽發(fā)給example.com而不是其它域名的證書(shū)）；
• 此協(xié)議的加密層（SSL/TLS）能夠有效地提供認(rèn)證和高強(qiáng)度的加密。

主要目的在于:

• 安全傳輸數(shù)據(jù)
• 防止中間人攻擊和竊聽(tīng)
• 驗(yàn)證服務(wù)器的可信度

實(shí)踐

在 Go 中使用 HTTPS 也很簡(jiǎn)單, 接口如下:

func (srv *Server) ListenAndServe() error
func (srv *Server) ListenAndServeTLS(certFile, keyFile string) error

對(duì)比一下就知道了, 只需要兩個(gè)參數(shù)就可以實(shí)現(xiàn) HTTPS 了.

這兩個(gè)參數(shù)分別是證書(shū)文件的路徑和私鑰文件的路徑.
通常要獲取這兩個(gè)文件需要從證書(shū)頒發(fā)機(jī)構(gòu)獲取.
雖然有免費(fèi)的, 但還是比較麻煩, 通常還需要域名.

為了簡(jiǎn)單起見(jiàn), 這里使用自簽名證書(shū), 當(dāng)然, 這樣的證書(shū)是不會(huì)被瀏覽器信任的.

生成證書(shū)和私鑰

如果是 window 系統(tǒng), 可以在 git bash 中運(yùn)行.
MSYS_NO_PATHCONV=1 是專(zhuān)為 git bash 設(shè)置的環(huán)境變量, 沒(méi)有的話會(huì)報(bào)錯(cuò).

MSYS_NO_PATHCONV=1 openssl req -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=CN/ST=SH/L=SH/O=CoolCat/OU=CoolCat Software/CN=127.0.0.1/emailAddress=coolcat@qq.com"

PowerShell 版本, 需要指定配置路徑 -config, 默認(rèn)應(yīng)該是 "C:\Program Files\Git\usr\ssl\openssl.cnf".

openssl req -config "C:\Program Files\Git\usr\ssl\openssl.cnf" -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=CN/ST=SH/L=SH/O=CoolCat/OU=CoolCat Software/CN=127.0.0.1/emailAddress=coolcat@qq.com"

Linux 下就可以直接運(yùn)行吧.

openssl req -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=CN/ST=SH/L=SH/O=CoolCat/OU=CoolCat Software/CN=127.0.0.1/emailAddress=coolcat@qq.com"

這個(gè)命令會(huì)在當(dāng)前目錄生成 server.crt 證書(shū)文件和 server.key 私鑰文件, 都復(fù)制到項(xiàng)目的 conf 目錄下.

修改配置文件

在配置文件 conf/config.yaml 中添加 HTTPS 相關(guān)的參數(shù).

tls:
 addr: :443 # HTTPS 綁定端口
 cert: conf/server.crt # 自簽發(fā)的數(shù)字證書(shū)
 key: conf/server.key # 私鑰文件

HTTPS 的默認(rèn)端口就是 443, 這里也配置成 443, 就可以在 URL 中省略端口號(hào)了.

修改啟動(dòng)函數(shù)

一開(kāi)始, 啟動(dòng)函數(shù)是在 goroutine 中啟動(dòng) HTTP 服務(wù)器,
這里增加一個(gè) goroutine 來(lái)啟動(dòng) HTTPS 服務(wù)器.

// 啟動(dòng) https 服務(wù)
cert := viper.GetString("tls.cert")
key := viper.GetString("tls.key")
addrTLS := viper.GetString("tls.addr")
if cert != "" && key != "" {
 go func() {
  // 等待 http 服務(wù)正常啟動(dòng)
  <-wait
  logrus.Infof("啟動(dòng)服務(wù)器在 https address: %s", addrTLS)
  srv.Addr = addrTLS
  if err := srv.ListenAndServeTLS(cert, key); err != nil && err != http.ErrServerClosed {
   logrus.Fatalf("listen on https: %s\n", err)
  }
 }()
}

啟動(dòng)之后, 就可以通過(guò) https://127.0.0.1/v1/check/cpu 驗(yàn)證一下了,

瀏覽器中打開(kāi)肯定是會(huì)顯示不安全的, 因?yàn)樽C書(shū)無(wú)法通過(guò)驗(yàn)證.

總結(jié)

HTTPS 是一種趨勢(shì), 也是未來(lái). API 接口為了安全性, 一般都是需要上 HTTPS 的.

而且在 Go 中使用 HTTPS 也挺簡(jiǎn)單的, 換個(gè) TLS 結(jié)尾的函數(shù)就行了.
也可以只使用 HTTPS, 禁止 HTTP 對(duì)外服務(wù),
修改 HTTP 的配置參數(shù) addr 為 localhost:port 就行.

當(dāng)前部分的代碼

作為版本v0.10.0

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論