HTTP 代理原理及實現（二）

在上篇《HTTP 代理原理及實現（一）》裏，我介紹了 HTTP 代理的兩種形式，並用 Node.js 實現了一個可用的普通 / 隧道代理。普通代理可以用來承載 HTTP 流量；隧道代理可以用來承載任何 TCP 流量，包括 HTTP 和 HTTPS。今天這篇文章介紹剩餘部分：如何將瀏覽器與代理之間的流量傳輸升級爲 HTTPS。

上篇文章中實現的代理，是一個標準的 HTTP 服務，針對瀏覽器的普通請求和 CONNECT 請求，進行不同的處理。Node.js 爲創建 HTTP 或 HTTPS Server 提供了高度一致的接口，要將 HTTP 服務升級爲 HTTPS 特別方便，只有一點點準備工作要做。

我們知道 TLS 有三大功能：內容加密、身份認證和數據完整性。其中內容加密依賴於密鑰協商機制；數據完整性依賴於 MAC（Message authentication code）校驗機制；而身份認證則依賴於證書認證機制。一般操作系統或瀏覽器會維護一個受信任根證書列表，包含在列表之中的證書，或者由列表中的證書籤發的證書都會被客戶端信任。

提供 HTTPS 服務的證書可以自己生成，然後手動加入到系統根證書列表中。但是對外提供服務的 HTTPS 網站，不可能要求每個用戶都手動導入你的證書，所以更常見的做法是向 CA（Certificate Authority，證書頒發機構）申請。根據證書的不同級別，CA 會進行不同級別的驗證，驗證通過後 CA 會用他們的證書籤髮網站證書，這個過程通常是收費的（有免費的證書，最近免費的 Let's Encrypt 也很火，這裏不多介紹）。由於 CA 使用的證書都是由廣泛內置在各系統中的根證書籤發，所以從 CA 獲得的網站證書會被絕大部分客戶端信任。

通過 CA 申請證書很簡單，本文爲了方便演示，採用自己簽發證書的偷懶辦法。現在廣泛使用的證書是 x509.v3 格式，使用以下命令可以創建：

openssl genrsa -out private.pem 2048
openssl req -new -x509 -key private.pem -out public.crt -days 99999

第二行命令運行後，需要填寫一些證書信息。需要注意的是 Common Name 一定要填寫後續提供 HTTPS 服務的域名或 IP。例如你打算在本地測試，Common Name 可以填寫 127.0.0.1。證書創建好之後，再將 public.crt 添加到系統受信任根證書列表中。爲了確保添加成功，可以用瀏覽器驗證一下：

接着，可以改造之前的 Node.js 代碼了，需要改動的地方不多：

JSvar http = require('http');
var https = require('https');
var fs = require('fs');
var net = require('net');
var url = require('url');

function request(cReq, cRes) {
    var u = url.parse(cReq.url);

    var options = {
        hostname : u.hostname, 
        port     : u.port || 80,
        path     : u.path,       
        method     : cReq.method,
        headers     : cReq.headers
    };

    var pReq = http.request(options, function(pRes) {
        cRes.writeHead(pRes.statusCode, pRes.headers);
        pRes.pipe(cRes);
    }).on('error', function(e) {
        cRes.end();
    });

    cReq.pipe(pReq);
}

function connect(cReq, cSock) {
    var u = url.parse('http://' + cReq.url);

    var pSock = net.connect(u.port, u.hostname, function() {
        cSock.write('HTTP/1.1 200 Connection Established\r\n\r\n');
        pSock.pipe(cSock);
    }).on('error', function(e) {
        cSock.end();
    });

    cSock.pipe(pSock);
}

var options = {
    key: fs.readFileSync('./private.pem'),
    cert: fs.readFileSync('./public.crt')
};

https.createServer(options)
    .on('request', request)
    .on('connect', connect)
    .listen(8888, '0.0.0.0');

可以看到，除了將 http.createServer 換成 https.createServer，增加證書相關配置之外，這段代碼沒有任何改變。這也是引入 TLS 層的妙處，應用層不需要任何改動，就能獲得諸多安全特性。

運行服務後，只需要將瀏覽器的代理設置爲 HTTPS 127.0.0.1:8888 即可，功能照舊。這樣改造，只是將瀏覽器到代理之間的流量升級爲了 HTTPS，代理自身邏輯、與服務端的通訊方式，都沒有任何變化。

最後，還是寫段 Node.js 代碼驗證下這個 HTTPS 代理服務：

JSvar https = require('https');

var options = {
    hostname : '127.0.0.1',
    port     : 8888,
    path     : 'imququ.com:80',
    method     : 'CONNECT'
};

//禁用證書驗證，不然自簽名的證書無法建立 TLS 連接
process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";

var req = https.request(options);

req.on('connect', function(res, socket) {
    socket.write('GET / HTTP/1.1\r\n' +
                 'Host: imququ.com\r\n' +
                 'Connection: Close\r\n' +
                 '\r\n');

    socket.on('data', function(chunk) {
        console.log(chunk.toString());
    });

    socket.on('end', function() {
        console.log('socket end.');
    });
});

req.end();

這段代碼和上篇文章最後那段的區別只是 http.request 換成了 https.request，運行結果完全一樣，這裏就不貼了。本文所有代碼可以從這個倉庫獲得：proxy-demo。