项目 http 升级到 https 全程总结

1.阿里云负载均衡配置
	1>购买证书

	2>签发证书后，选择 '部署到云产品 -> SLB'

	3>添加监听端口
		1)443
			1.开启会话保持，植入 Cookie

			2.勾选 '附加 HTTP 头字段'，勾选上 『通过X-Forwarded-Proto头字段获取SLB的监听协议』(不然微信判断环境不是 HTTPS)

			3.选择证书

		2)80
			1.开启 '监听转发'，目的监听选择 'HTTPS:443'

			这么做，是让我们输入域名，默认访问的就是 https，不然浏览器默认输入域名，端口默认是 80


	/*
		这里都是我们自己配置，尝试、调通的结果，没有运维，不清楚对不对！！！
	 */

2.微信支付授权目录，需要将协议改成 https://

3.三方登录，微信、QQ、微博、支付宝，不修改 https 也可以照常访问

4.微信公众号，服务器配置 URL，不修改 https 也可以照常访问

5.微信 JS-SDK 调用，包含微信分享、微信扫一扫等，发现都不可以使用，显示 '签名错误'，'config:fail, Error:invalid signature'
	之前 http 时，是没有问题的，而且在测试服务器上免费的 https，也正常，就是线上真实的 https(线上和测试服务器架构不同，线上采用了负载均衡，且 443 转后端 80) 一直异常。

	考虑到代码，应该是没有问题的，就查看下签名的生成方法，我们使用的是 easywechat，查看源码：
		vendor/overtrue/wechat/src/BasicService/Jssdk/Client.php 签名生成方法 configSignature()

		    protected function configSignature(string $url = null, string $nonce = null, $timestamp = null): array
		    {
		        $url = $url ?: $this->getUrl();
		        $nonce = $nonce ?: Support\Str::quickRandom(10);
		        $timestamp = $timestamp ?: time();

		        return [
		            'appId' => $this->getAppId(),
		            'nonceStr' => $nonce,
		            'timestamp' => $timestamp,
		            'url' => $url,
		            'signature' => $this->getTicketSignature($this->getTicket()['ticket'], $nonce, $timestamp, $url),
		        ];
		    }

		方法没问题，唯一可能的就是 $url 不同，查看 url 生成方法，$this->getUrl()：
		    public function getUrl(): string
		    {
		        if ($this->url) {
		            return $this->url;
		        }

		        return Support\current_url();
		    }

		调用 vendor/overtrue/wechat/src/Kernel/Support/Helpers.php 的 current_url()
			function current_url()
			{
			    $protocol = 'http://';

			    if ((!empty($_SERVER['HTTPS']) && 'off' !== $_SERVER['HTTPS']) || ($_SERVER['HTTP_X_FORWARDED_PROTO'] ?? 'http') === 'https') {
			        $protocol = 'https://';
			    }

			    return $protocol.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
			}

	发现判断也很合理啊，有考虑到 http 和 https 协议，没问题啊！

	最后，尝试，在线上输出下最终生成的 $url 值，发现：
		1.我们页面上访问的是：
			https://www.xxx.cn/xxx

		2.输出的 url 是：
			http://www.xxx.cn/xxx

	只能说明，current_url() 里的 https 判断错误，和我们想象的不同，进一步输出了：
		$_SERVER['HTTPS']

	发现不存在！到此为止，就知道错误原因了，我们自以为访问的是 https，$_SERVER['HTTPS'] 就应该为真。(这应该也是我们的负载均衡加载有关，负载均衡配置的 443，但是后端服务器却是 80，其实还是 http，实在是不懂运维，很痛苦！)

	然后看着接下来的配置：
		$_SERVER['HTTP_X_FORWARDED_PROTO']

	字面意思，就是 '转发协议'。脑子里突然想起当时配置负载均衡的 443 监听时，'附加 HTTP 头字段' 好像有几个要勾选的选项，看看那里面是不是有这个设置，已查看果然有！然后无需修改代码，勾选上该配置即可！！！到此问题解决！！！

	感慨下，别人这么写代码，都是有原因的，只是自己从来没碰到这种情况。这种应该就是一种平常的架构模式，只是自己没见过！不懂！	

6.https 站，加载 http 请求，报错！
	js、css、pdf等都不可以，貌似碰到的目前只有 image 可以访问。

	js、css 报错：
		Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'. This request has been blocked; the content must be served over HTTPS.

	image 未报错，但是有警告：
		Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure image 'xxx'. This content should also be served over HTTPS.

	这里记录下，网上搜索的一些相关内容：
		1>相对协议
			我们一般使用：http://、https://，相对协议是：//(去掉 http:、https:)。
			浏览器会根据服务器端的配置是 http 还是 https，自动使用不同的协议加载资源

		2>头部添加，会自动将页面里的 http 请求，升级为安全的 https 请求
			<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
			但这种做法的前提是，我们的资源，同时支持 http 和 https 请求

		3><script>、<link>、<iframe>、<object>，CSS 中的 url，以及使用 XMLHTTPRequest 的请求，都会报错

	参考文章：
		https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content?hl=en(en 改为 zh，就是中文)

		https://developer.mozilla.org/zh-CN/docs/Security/MixedContent

		https://blog.cloudflare.com/fixing-the-mixed-content-problem-with-automatic-https-rewrites/

	解决方法：
		基本就是要支持所有的链接为 https 请求


		处理大批量的混合内容：可以采用 CSP(内容安全策略)

			Content-Security-Policy: upgrade-insecure-requests - 所有 http 请求，自动转换为 https 请求(要求所有资源支持 https 请求)

			Content-Security-Policy: block-all-mixed-content - 此指令指示浏览器从不加载混合内容；所有混合内容资源请求均被阻止，包括主动混合内容和被动混合内容

			Content-Security-Policy-Report-Only - 可以使用内容安全政策收集网站上的混合内容报告(查看第一篇参考文章)

	我们项目内修改：
		1.将所有外部请求，例如：百度地图等 js 引入，全部改为相对协议引入 '//'。

		2.自己站内的资源，统一采用系统默认的 url() 和 asset() 方法，自动识别 http 或 https 协议

		3.对于 '七牛云' 上传 image、js、css、pdf 等资源。image 暂且不修改，js 和 css 我们使用的是本地，并未放到七牛云上，还可暂时使用。七牛云的 pdf 文件访问，我们可能得采用其他方法来解决了！(我们的七牛没咋配置，还是 http)

			pdf 实现，写了一个后端代理方法：

			    public function pdfProxy(Request $request)
			    {
			        $path = urldecode($request->input('pdf'));

			        $filename = basename($path);
			        $content = file_get_contents($path);
			        header('Content-Type: application/pdf');
			        header('Content-Length: ' . strlen($content));
			        header('Content-Disposition: inline; filename="' . $filename . '"');
			        header('Cache-Control: private, max-age=0, must-revalidate');
			        header('Pragma: public');
			        ini_set('zlib.output_compression','0');

			        die($content);
		        }

		    /*
		    	这种方法，是跨域之类的，通用解决方案，借助后端来请求，也就不存在 http 和 https 问题，而且解决了跨域问题！

		    	这种方法适合少量地方使用，最好的实现还是配置 HTTPS
		     */

			/*
				七牛云最终方案，是需要给空间配置融合CDN，配置 HTTPS。
			 */