项目 http 升级到 https 全程总结

1.阿里云负载均衡配置
    1>购买证书
 
    2>签发证书后，选择 '部署到云产品 -> SLB'
 
    3>添加监听端口
        1)443
            1.开启会话保持，植入 Cookie
 
            2.勾选 '附加 HTTP 头字段'，勾选上 『通过X-Forwarded-Proto头字段获取SLB的监听协议』(不然微信判断环境不是 HTTPS)
 
            3.选择证书
 
        2)80
            1.开启 '监听转发'，目的监听选择 'HTTPS:443'
 
            这么做，是让我们输入域名，默认访问的就是 https，不然浏览器默认输入域名，端口默认是 80
 
 
    /*
        这里都是我们自己配置，尝试、调通的结果，没有运维，不清楚对不对！！！
     */
 
2.微信支付授权目录，需要将协议改成 https://
 
3.三方登录，微信、QQ、微博、支付宝，不修改 https 也可以照常访问
 
4.微信公众号，服务器配置 URL，不修改 https 也可以照常访问
 
5.微信 JS-SDK 调用，包含微信分享、微信扫一扫等，发现都不可以使用，显示 '签名错误'，'config:fail, Error:invalid signature'
    之前 http 时，是没有问题的，而且在测试服务器上免费的 https，也正常，就是线上真实的 https(线上和测试服务器架构不同，线上采用了负载均衡，且 443 转后端 80) 一直异常。
 
    考虑到代码，应该是没有问题的，就查看下签名的生成方法，我们使用的是 easywechat，查看源码：
        vendor/overtrue/wechat/src/BasicService/Jssdk/Client.php 签名生成方法 configSignature()
 
            protected function configSignature(string $url = null, string $nonce = null, $timestamp = null): array
            {
                $url = $url ?: $this->getUrl();
                $nonce = $nonce ?: Support\Str::quickRandom(10);
                $timestamp = $timestamp ?: time();
 
                return [
                    'appId' => $this->getAppId(),
                    'nonceStr' => $nonce,
                    'timestamp' => $timestamp,
                    'url' => $url,
                    'signature' => $this->getTicketSignature($this->getTicket()['ticket'], $nonce, $timestamp, $url),
                ];
            }
 
        方法没问题，唯一可能的就是 $url 不同，查看 url 生成方法，$this->getUrl()：
            public function getUrl(): string
            {
                if ($this->url) {
                    return $this->url;
                }
 
                return Support\current_url();
            }
 
        调用 vendor/overtrue/wechat/src/Kernel/Support/Helpers.php 的 current_url()
            function current_url()
            {
                $protocol = 'http://';
 
                if ((!empty($_SERVER['HTTPS']) && 'off' !== $_SERVER['HTTPS']) || ($_SERVER['HTTP_X_FORWARDED_PROTO'] ?? 'http') === 'https') {
                    $protocol = 'https://';
                }
 
                return $protocol.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
            }
 
    发现判断也很合理啊，有考虑到 http 和 https 协议，没问题啊！
 
    最后，尝试，在线上输出下最终生成的 $url 值，发现：
        1.我们页面上访问的是：
            https://www.xxx.cn/xxx
 
        2.输出的 url 是：
            http://www.xxx.cn/xxx
 
    只能说明，current_url() 里的 https 判断错误，和我们想象的不同，进一步输出了：
        $_SERVER['HTTPS']
 
    发现不存在！到此为止，就知道错误原因了，我们自以为访问的是 https，$_SERVER['HTTPS'] 就应该为真。(这应该也是我们的负载均衡加载有关，负载均衡配置的 443，但是后端服务器却是 80，其实还是 http，实在是不懂运维，很痛苦！)
 
    然后看着接下来的配置：
        $_SERVER['HTTP_X_FORWARDED_PROTO']
 
    字面意思，就是 '转发协议'。脑子里突然想起当时配置负载均衡的 443 监听时，'附加 HTTP 头字段' 好像有几个要勾选的选项，看看那里面是不是有这个设置，已查看果然有！然后无需修改代码，勾选上该配置即可！！！到此问题解决！！！
 
    感慨下，别人这么写代码，都是有原因的，只是自己从来没碰到这种情况。这种应该就是一种平常的架构模式，只是自己没见过！不懂！    
 
6.https 站，加载 http 请求，报错！
    js、css、pdf等都不可以，貌似碰到的目前只有 image 可以访问。
 
    js、css 报错：
        Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'. This request has been blocked; the content must be served over HTTPS.
 
    image 未报错，但是有警告：
        Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure image 'xxx'. This content should also be served over HTTPS.
 
    这里记录下，网上搜索的一些相关内容：
        1>相对协议
            我们一般使用：http://、https://，相对协议是：//(去掉 http:、https:)。
            浏览器会根据服务器端的配置是 http 还是 https，自动使用不同的协议加载资源
 
        2>头部添加，会自动将页面里的 http 请求，升级为安全的 https 请求
            <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
            但这种做法的前提是，我们的资源，同时支持 http 和 https 请求
 
        3><script>、<link>、<iframe>、<object>，CSS 中的 url，以及使用 XMLHTTPRequest 的请求，都会报错
 
    参考文章：
        https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content?hl=en(en 改为 zh，就是中文)
 
        https://developer.mozilla.org/zh-CN/docs/Security/MixedContent
 
        https://blog.cloudflare.com/fixing-the-mixed-content-problem-with-automatic-https-rewrites/
 
    解决方法：
        基本就是要支持所有的链接为 https 请求
 
 
        处理大批量的混合内容：可以采用 CSP(内容安全策略)
 
            Content-Security-Policy: upgrade-insecure-requests - 所有 http 请求，自动转换为 https 请求(要求所有资源支持 https 请求)
 
            Content-Security-Policy: block-all-mixed-content - 此指令指示浏览器从不加载混合内容；所有混合内容资源请求均被阻止，包括主动混合内容和被动混合内容
 
            Content-Security-Policy-Report-Only - 可以使用内容安全政策收集网站上的混合内容报告(查看第一篇参考文章)
 
    我们项目内修改：
        1.将所有外部请求，例如：百度地图等 js 引入，全部改为相对协议引入 '//'。
 
        2.自己站内的资源，统一采用系统默认的 url() 和 asset() 方法，自动识别 http 或 https 协议
 
        3.对于 '七牛云' 上传 image、js、css、pdf 等资源。image 暂且不修改，js 和 css 我们使用的是本地，并未放到七牛云上，还可暂时使用。七牛云的 pdf 文件访问，我们可能得采用其他方法来解决了！(我们的七牛没咋配置，还是 http)
 
            pdf 实现，写了一个后端代理方法：
 
                public function pdfProxy(Request $request)
                {
                    $path = urldecode($request->input('pdf'));
 
                    $filename = basename($path);
                    $content = file_get_contents($path);
                    header('Content-Type: application/pdf');
                    header('Content-Length: ' . strlen($content));
                    header('Content-Disposition: inline; filename="' . $filename . '"');
                    header('Cache-Control: private, max-age=0, must-revalidate');
                    header('Pragma: public');
                    ini_set('zlib.output_compression','0');
 
                    die($content);
                }
 
            /*
                这种方法，是跨域之类的，通用解决方案，借助后端来请求，也就不存在 http 和 https 问题，而且解决了跨域问题！
                这种方法适合少量地方使用，最好的实现还是配置 HTTPS
             */
 
            /*
                七牛云最终方案，是需要给空间配置融合CDN，配置 HTTPS。
             */