Node.js中https使用案例解析

這次帶給大家Node.js中https使用案例解析，Node.js中https使用的注意事項有哪些，以下就是實戰案例，一起來看一下。

模組概覽

#這個模組的重要性，基本上不用強調了。在網路安全問題日益嚴峻的今天，網站採用HTTPS是個必然的趨勢。

在nodejs中，提供了 https 這個模組來完成 HTTPS 相關功能。從官方文件來看，跟 http 模組用法非常相似。

本文主要包含兩部分：

1. 透過客戶端、服務端的例子，對https模組進行入門講解。

2. 如何存取安全性憑證不受信任的網站。 （以 12306 為範例）

篇幅所限，本文無法對 HTTPS協定 及 相關技術體系 做過多講解，有問題歡迎留言交流。

客戶端範例

跟http模組的用法非常像，只不過請求的位址是https協定的而已，程式碼如下：

var https = require('https');
https.get('https://www.baidu.com', function(res){
  console.log('status code: ' + res.statusCode);
  console.log('headers: ' + res.headers);
  res.on('data', function(data){
    process.stdout.write(data);
  });
}).on('error', function(err){
  console.error(err);
});

服務端範例

對外提供HTTPS服務，需要有HTTPS憑證。如果你已經有了HTTPS證書，那麼可以跳過證書產生的環節。如果沒有，可以參考下列步驟

產生憑證

1、建立目錄存放憑證。

mkdir cert
cd cert

2、產生私鑰。

openssl genrsa -out chyingp-key.pem 2048

3、產生憑證簽章請求（csr是 Certificate Signing Request的意思）。

openssl req -new \
 -sha256
 -key chyingp-key.key.pem \
 -out chyingp-csr.pem \
 -subj "/C=CN/ST=Guandong/L=Shenzhen/O=YH Inc/CN=www.chyingp.com"

4、產生憑證。

openssl x509 \
 -req -in chyingp-csr.pem \
 -signkey chyingp-key.pem \
 -out chyingp-cert.pem

HTTPS服務端

程式碼如下：

var https = require('https');
var fs = require('fs');
var options = {
  key: fs.readFileSync('./cert/chyingp-key.pem'), // 私钥
  cert: fs.readFileSync('./cert/chyingp-cert.pem') // 证书
};
var server = https.createServer(options, function(req, res){
  res.end('这是来自HTTPS服务器的返回');
});
server.listen(3000);

由於我並沒有www.chyingp.com 這個域名，所以先設定本地host

127.0.0.1 www.chyingp.com

#啟動服務，並在瀏覽器中造訪http://www.chyingp.com:3000 。注意，瀏覽器會提示你憑證不可靠，點擊 信任並繼續訪問 就行了。

進階範例：存取安全憑證不受信任的網站

#這裡以我們最愛的12306最為例子。當我們通過瀏覽器，訪問12306的購票頁面https://kyfw.12306.cn/otn/regist/init 時，chrome會阻止我們訪問，這是因為，12306的證書是自己頒發的，chrome無法確認他的安全性。

對這種情況，可以有以下處理方式：

1. 停止訪問：著急搶票回家過年的老鄉表示無法接受。

2. 無視安全警告，繼續訪問：大部分情況下，瀏覽器是會放行的，不過安全提示還在。

3. 導入12306的CA根憑證：瀏覽器乖乖就範，認為存取是安全的。 （其實還是有安全提示，因為12306用的簽章演算法安全等級不夠）

#範例：觸發安全限制

同樣的，透過node https client 發起請求，也會遇到相同問題。我們做下實驗，程式碼如下：

var https = require('https');
https.get('https://kyfw.12306.cn/otn/regist/init', function(res){  
  res.on('data', function(data){
    process.stdout.write(data);
  });
}).on('error', function(err){
  console.error(err);
});

執行上面程式碼，得到下面的錯誤提示，意思是 安全性憑證不可靠，拒絕繼續存取。

{ Error: self signed certificate in certificate chain
    at Error (native)
    at TLSSocket.    at TLSSocket.emit (events.js:185:7)
    at TLSSocket._finishInit (_tls_wrap.js:580:8)##卷(_tls_wrap.js:412:38) code: 'SELF_SIGNED_CERT_IN_CHAIN' }

ps：个人认为这里的错误提示有点误导人，12306网站的证书并不是自签名的，只是对证书签名的CA是12306自家的，不在可信列表里而已。自签名证书，跟自己CA签名的证书还是不一样的。

类似在浏览器里访问，我们可以采取如下处理：

1. 不建议：忽略安全警告，继续访问；

2. 建议：将12306的CA加入受信列表；

方法1：忽略安全警告，继续访问

非常简单，将 rejectUnauthorized 设置为 false 就行，再次运行代码，就可以愉快的返回页面了。

// 例子：忽略安全警告
var https = require('https');
var fs = require('fs');
var options = { 
  hostname: 'kyfw.12306.cn',
  path: '/otn/leftTicket/init',
  rejectUnauthorized: false // 忽略安全警告
};
var req = https.get(options, function(res){ 
  res.pipe(process.stdout);  
});
req.on('error', function(err){
  console.error(err.code);
});

方法2：将12306的CA加入受信列表

这里包含3个步骤：

1. 下载 12306 的CA证书

2. 将der格式的CA证书，转成pem格式

3. 修改node https的配置

1、下载 12306 的CA证书

在12306的官网上，提供了CA证书的 下载地址 ，将它保存到本地，命名为 srca.cer。

2、将der格式的CA证书，转成pem格式

https初始化client时，提供了 ca 这个配置项，可以将 12306 的CA证书添加进去。当你访问 12306 的网站时，client就会用ca配置项里的 ca 证书，对当前的证书进行校验，于是就校验通过了。

需要注意的是，ca 配置项只支持 pem 格式，而从12306官网下载的是der格式的。需要转换下格式才能用。关于 pem、der的区别，可参考 这里 。

openssl x509 -in srca.cer -inform der -outform pem -out srca.cer.pem

3、修改node https的配置

修改后的代码如下，现在可以愉快的访问12306了。

// 例子：将12306的CA证书，加入我们的信任列表里
var https = require('https');
var fs = require('fs');
var ca = fs.readFileSync('./srca.cer.pem');
var options = { 
 hostname: 'kyfw.12306.cn',
 path: '/otn/leftTicket/init',
 ca: [ ca ]
};
var req = https.get(options, function(res){ 
 res.pipe(process.stdout); 
});
req.on('error', function(err){
 console.error(err.code);
});

相信看了本文案例你已经掌握了方法，更多精彩请关注php中文网其它相关文章！

推荐阅读：

设计模式的策略模式怎样在前端中使用

怎样使用JS+H5实现微信摇一摇

以上是Node.js中https使用案例解析的詳細內容。更多資訊請關注PHP中文網其他相關文章！