https被称为安全的http请求,是基于ssl协议来实现的,https = http+ssl , 可实现数据加密,身份认证,数字签名(防篡改)
但是近期有个需求前端跟后端建立起了https访问,但是又要对参数添加数字签名(一般使用MD5),是不是多此一举?
但是后来仔细看了一下项目的基础架构,类似于下图所示:
一个ssl证书是跟域名绑定的,而且是收费的,如果公司有很多业务服务器,所以不可能跟所有的业务服务器绑定,一般在设计中,业务服务器放置内网,相对来说比较安全,仍是通过http访问,像对外的nginx服务器,其可能涉及很多网络攻击,信息截取,篡改等,http请求的信息没有经过加密处理,都是明文,而且也没自带签名,存在信息被中间人篡改的可能,所以需要配置https请求
现在我模拟一下整个流程:
nginx服务器配置了ssl
upstream nodejs__upstream2 {
server localhost:4444; # 需要监听的端口名 我用的
keepalive 64;
}server {
listen 443 ssl;
server_name dev.kt.looklook.cn; # 配置的https的域名
ssl_certificate yangcai.crt; # 这个是证书的crt文件所在目录
ssl_certificate_key yangcai.key; # 这个是证书key文件所在目录
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_set_header Connection "";
proxy_http_version 1.1;
proxy_pass http://nodejs__upstream2;
}
..................................................................................................................
localhost:4444 是idea中 Tunnellij 服务的地址,其proxy代理了 idea 中所有接收到的请求,我添加这个只是方便展示nginx请求后台服务是采用http请求
localhost:4449 是rest服务的访问地址
现在大致的架构是:
现在请求:https://localhost/say,使用fiddler抓包展示,会去请求localhost:443 ,然后转发至localhost:4444
Tunnellij接收到请求后,下图所示,可以看到nginx转发之后的请求是http请求,所有信息都是明文的,所以加参数签名是有必要的