經過nginx反向代理來調試代碼

背景

如今公司項目都是先後端分離的方式開發，有些時候因爲某些新需求開發或者 bug 修改，想要讓前端直接連到我本地開發環境進行調試，而前端代碼我並無，只能經過前端部署的測試環境進行測試，最簡單的辦法就是直接改 host 把後端測試環境的域名指向我本地的 IP，這對於 HTTP 協議的服務來講是很輕易作到的，不過公司的測試環境所有上了 HTTPS，而我本地的服務是 HTTP 協議這樣就算是改了 host 也會因爲協議不一樣致使請求失敗，因此須要將本地的服務升級成 HTTPS 才行。

方案

其實 springboot 自己就支持 HTTPS(howto-configure-ssl)，可是這須要改項目代碼不太優雅，因而就想直接用nginx反向代理到本地服務，這樣在nginx層面作 HTTPS 就不須要改代碼了，只需修改 host 將後端測試環境域名指向 nginx 服務的 IP 便可，並且能夠適用於其它的 HTTP 服務開發調試。

簽發證書

首先要生成一套證書用於 nginx 的 ssl 配置，直接使用openssl工具生成一套根證書和對應的服務證書。

1. 根證書生成

   # 生成一個RSA私鑰
   openssl genrsa -out root.key 2048
   # 經過私鑰生成一個根證書
   openssl req -sha256 -new -x509 -days 365 -key root.key -out root.crt \
       -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=fakerRoot"

2. 服務器證書生成

   # 生成一個RSA私鑰
   openssl genrsa -out server.key 2048
   # 生成一個帶SAN擴展的證書籤名請求文件
   openssl req -new \
       -sha256 \
       -key server.key \
       -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=xxx.com" \
       -reqexts SAN \
       -config <(cat /etc/pki/tls/openssl.cnf \
           <(printf "[SAN]\nsubjectAltName=DNS:*.xxx.com,DNS:*.test.xxx.com")) \
       -out server.csr
   # 使用以前生成的根證書作簽發
   openssl ca -in server.csr \
       -md sha256 \
       -keyfile root.key \
       -cert root.crt \
       -extensions SAN \
       -config <(cat /etc/pki/tls/openssl.cnf \
           <(printf "[SAN]\nsubjectAltName=DNS:xxx.com,DNS:*.test.xxx.com")) \
       -out server.crt

這樣就獲得了三個關鍵文件：

• root.crt:根證書
• server.key:服務證書私鑰
• server.crt:服務證書

注：生成的服務器證書域名要支持測試環境訪問的域名，不然瀏覽器會提示證書不安全。

nginx 配置

爲了方便，直接使用docker啓動了一個 nginx 容器進行訪問，並將證書和配置文件掛載到對應的目錄：

• nginx.conf

  server {
      listen 443 ssl;
      server_name _;
      ssl_certificate "/usr/local/nginx/ssl/server.pem";
      ssl_certificate_key "/usr/local/nginx/ssl/server.key";
      location / {
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
          proxy_set_header X-Forwarded-Proto $scheme;
          proxy_set_header Host $http_host;
          proxy_set_header X-NginX-Proxy true;
          proxy_set_header Upgrade $http_upgrade;
          proxy_set_header Connection "upgrade";
          proxy_pass http://127.0.0.1:3000;
          proxy_redirect off;
          proxy_http_version 1.1;
      }
  }

經過配置ssl_certificate和ssl_certificate_key來指定服務器的證書和私鑰，proxy_pass指定開發環境的訪問地址。

• 啓動

  docker run -d --name https -p 443:443 -v ~/forword/ssl:/usr/local/nginx/ssl -v ~/forword/config/nginx.conf:/etc/nginx/conf.d/default.conf  nginx

將 nginx 配置和證書相關文件掛載至對應的目錄，並暴露 443 端口，這樣服務啓動後便可經過 https 訪問到本地開發環境了。

安裝根證書

因爲服務證書是本身簽發的，並不會被瀏覽器所信任，因此須要將根證書安裝至操做系統中。

1. 打開 chrome 瀏覽器->設置->高級->管理證書
   
2. 受信任的根證書頒發機構->導入
   
3. 選擇以前生成的根證書root.crt導入便可

修改 host

在須要調試時，只須要將本地服務啓動，再將 host 中將要測試的域名解析到nginx服務器的 IP，便可將前端請求轉發到開發環境上，經過瀏覽器地址欄的小鎖圖標能夠看到證書，已驗證服務已經部署成功。

後記

本文中其實已經提到了兩種解決方案了，其實還有其它的解決方案，例如使用fidder這種中間人攻擊的方式來實現，這裏就不作多敘了。