【微服务网关——https与http2代理实现】

1.https与http2代理

1.1 重新认识https与http2

  • https是http安全版本
  • http2是一种传输协议
  • 两者并没有本质联系

1.1.1 https与http的区别

HTTP(超文本传输协议)和 HTTPS(安全超文本传输协议)是用于在网络上交换数据的两种协议。HTTPS 是 HTTP 的扩展,它在 HTTP 的基础上增加了加密层SSL/TLS ,以保护数据的安全。

  • HTTPS
    • 加密: HTTPS 使用 SSL/TLS 协议来加密传输的数据,保护数据免受窃听。
    • 验证身份: HTTPS 通过数字证书验证服务器的身份,确保数据被发送到正确的服务器。
    • 数据完整性: HTTPS 通过加密和校验机制,确保传输的数据不会被篡改。
    • 端口:443
https请求流程

在这里插入图片描述

1.1.2 http1.1与http2区别

  • HTTP/1.1
    • 文本协议:数据以明文格式传输,HTTP/1.1 请求和响应是人类可读的文本。
    • 单一请求-响应通道:每次请求和响应通过单独的 TCP 连接传输,连接复用有限。
    • 队头阻塞:由于请求是按顺序处理的,前一个请求处理未完成时,后续请求会被阻塞。
    • 连接管理:需要为每个请求创建一个新的连接,或者使用连接保持(keep-alive)来重用连接。
  • HTTP/2
    • 二进制协议:数据以二进制格式传输,增加了解析和处理的效率。
    • 多路复用:一个 TCP 连接可以同时承载多个请求和响应,消除了队头阻塞(Head-of-Line Blocking)的问题。
    • 头部压缩:使用 HPACK 算法对 HTTP 头部进行压缩,减少了冗余数据的传输。
    • 优先级控制:可以设置请求的优先级,优化资源的分配和加载顺序。

1.2 http2与https的关系

  • http2代表多路复用的传输协议
  • https代表http服务器使用了加密协议
  • 一个启用https的服务器不一定使用http2
  • 但是使用http2的服务器必须启用https(浏览器强制)

1.3 http2设计目标

  • 感知延迟有实质上改进
  • 解决HTTP1.1中的“队首阻塞”问题
  • 并行操作无需与服务器建立多个连接
  • 保持HTTP1.1语义,只是标准拓展并非替代
    在这里插入图片描述

2.https与http2代理实现

2.1 创建下游测试服务器

2.1.1 代码实现

package mainimport ("fmt""github.com/e421083458/gateway_demo/demo/proxy/reverse_proxy_https/testdata""golang.org/x/net/http2""io""log""net/http""os""os/signal""syscall""time"
)
func main() {rs1 := &RealServer{Addr: "127.0.0.1:3003"}rs1.Run()rs2 := &RealServer{Addr: "127.0.0.1:3004"}rs2.Run()//监听关闭信号quit := make(chan os.Signal)signal.Notify(quit, syscall.SIGINT, syscall.SIGTERM)<-quit
}type RealServer struct {Addr string
}func (r *RealServer) Run() {log.Println("Starting httpserver at " + r.Addr)mux := http.NewServeMux()mux.HandleFunc("/", r.HelloHandler)mux.HandleFunc("/base/error", r.ErrorHandler)server := &http.Server{Addr:         r.Addr,WriteTimeout: time.Second * 3,Handler:      mux,}go func() {// 开启http2http2.ConfigureServer(server, &http2.Server{})// 开启httpslog.Fatal(server.ListenAndServeTLS(testdata.Path("server.crt"), testdata.Path("server.key")))}()
}func (r *RealServer) HelloHandler(w http.ResponseWriter, req *http.Request) {upath := fmt.Sprintf("http://%s%s\n", r.Addr, req.URL.Path)io.WriteString(w, upath)
}func (r *RealServer) ErrorHandler(w http.ResponseWriter, req *http.Request) {upath := "error handler"w.WriteHeader(500)io.WriteString(w, upath)
}

2.1.2 证书签名生成方式

/*
//CA私钥
openssl genrsa -out ca.key 2048
//CA数据证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=example1.com" -days 5000 -out ca.crt//服务器私钥(默认由CA签发)
openssl genrsa -out server.key 2048
//服务器证书签名请求:Certificate Sign Request,简称csr(example1.com代表你的域名)
openssl req -new -key server.key -subj "/CN=example1.com" -out server.csr
//上面2个文件生成服务器证书(days代表有效期)
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
*/

2.1.3 如何开启http2

goLang服务器支持https与http

  • ListenAndServer调整成ListenAndServerTLS即可支持https
  • https服务器设置http2.ConfigureServer支持http2
    • 设置http2对应的handler回调
    • http.Server中设置了对http2的回调
    • http2回调方法负责从帧数据流中转换数据为http请求体
// ConfigureServer 为 net/http 的 Server 添加 HTTP/2 支持。
//
// 参数 conf 可以为 nil。
//
// ConfigureServer 必须在 s 开始服务之前调用。
func ConfigureServer(s *http.Server, conf *Server) error {if s == nil {panic("nil *http.Server") // 如果传入的 *http.Server 是 nil,程序会崩溃}if conf == nil {conf = new(Server) // 如果传入的 Server 配置是 nil,则新建一个默认的 Server 配置}// 初始化 conf 的内部状态conf.state = &serverInternalState{activeConns: make(map[*serverConn]struct{})}// 如果 conf 中的 IdleTimeout 没有设置,则使用 s 的 IdleTimeout 或 ReadTimeoutif h1, h2 := s, conf; h2.IdleTimeout == 0 {if h1.IdleTimeout != 0 {h2.IdleTimeout = h1.IdleTimeout} else {h2.IdleTimeout = h1.ReadTimeout}}// 注册优雅关机的回调函数s.RegisterOnShutdown(conf.state.startGracefulShutdown)// 如果没有 TLS 配置,创建一个默认的 TLS 配置if s.TLSConfig == nil {s.TLSConfig = new(tls.Config)} else if s.TLSConfig.CipherSuites != nil {// 如果已提供了 CipherSuite 列表,检查它的顺序或是否缺少必要的 CipherSuitehaveRequired := falsesawBad := falsefor i, cs := range s.TLSConfig.CipherSuites {switch cs {case tls.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,// 另一种 MTI 密码套件,防止只支持 ECDSA 的服务器。// 详情请参见 http://golang.org/cl/30721。tls.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256:haveRequired = true}if isBadCipher(cs) {sawBad = true} else if sawBad {return fmt.Errorf("http2: TLSConfig.CipherSuites 索引 %d 包含 HTTP/2 批准的密码套件 (%#04x),但它在未批准的密码套件之后。这样配置,可能会导致不支持先前批准的密码套件的客户端被分配一个未批准的套件并拒绝连接。", i, cs)}}if !haveRequired {return fmt.Errorf("http2: TLSConfig.CipherSuites 缺少 HTTP/2 所需的 AES_128_GCM_SHA256 密码(至少需要 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 或 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 之一)。")}}// 注意:这里没有设置 MinVersion 为 tls.VersionTLS12,// 因为我们不想干扰用户服务器上的 HTTP/1.1 流量。我们稍后在接受连接时强制执行 TLS 1.2。// 理想情况下,这应该在下一步协议选择中完成,但使用 TLS <1.2 与 HTTP/2 仍然是客户端的错误。s.TLSConfig.PreferServerCipherSuites = true // 服务器优先选择密码套件haveNPN := falsefor _, p := range s.TLSConfig.NextProtos {if p == NextProtoTLS {haveNPN = truebreak}}if !haveNPN {s.TLSConfig.NextProtos = append(s.TLSConfig.NextProtos, NextProtoTLS) // 添加 HTTP/2 协议}if s.TLSNextProto == nil {s.TLSNextProto = map[string]func(*http.Server, *tls.Conn, http.Handler){} // 初始化 TLSNextProto 映射}// 定义 protoHandler,用于处理新连接protoHandler := func(hs *http.Server, c *tls.Conn, h http.Handler) {if testHookOnConn != nil {testHookOnConn() // 测试钩子,如果存在,则调用}// TLSNextProto 接口早于 context 出现,因此 net/http 包通过 Handler 上一个未公开的方法传递每个连接的基础 context。// 这仅供内部 net/http<=>http2 使用。var ctx context.Contexttype baseContexter interface {BaseContext() context.Context}if bc, ok := h.(baseContexter); ok {ctx = bc.BaseContext() // 获取 base context}// 服务连接conf.ServeConn(c, &ServeConnOpts{Context:    ctx,Handler:    h,BaseConfig: hs,})}s.TLSNextProto[NextProtoTLS] = protoHandler // 设置 protoHandlerreturn nil // 成功返回 nil
}

2.2 https代理整合网关

package publicimport ("crypto/tls""crypto/x509""fmt""github.com/e421083458/gateway_demo/demo/proxy/reverse_proxy_https/testdata""golang.org/x/net/http2""io/ioutil""math/rand""net""net/http""net/http/httputil""net/url""strings""time"
)var transport = &http.Transport{DialContext: (&net.Dialer{Timeout:   30 * time.Second, //连接超时KeepAlive: 30 * time.Second, //长连接超时时间}).DialContext,//TLSClientConfig:       &tls.Config{InsecureSkipVerify: true},TLSClientConfig: func() *tls.Config {pool := x509.NewCertPool()caCertPath := testdata.Path("ca.crt")caCrt, _ := ioutil.ReadFile(caCertPath)pool.AppendCertsFromPEM(caCrt)return &tls.Config{RootCAs: pool}}(),MaxIdleConns:          100,              //最大空闲连接IdleConnTimeout:       90 * time.Second, //空闲超时时间TLSHandshakeTimeout:   10 * time.Second, //tls握手超时时间ExpectContinueTimeout: 1 * time.Second,  //100-continue 超时时间
}func NewMultipleHostsReverseProxy(targets []*url.URL) *httputil.ReverseProxy {//请求协调者director := func(req *http.Request) {targetIndex := rand.Intn(len(targets))target := targets[targetIndex]targetQuery := target.RawQueryfmt.Println("target.Scheme")fmt.Println(target.Scheme)req.URL.Scheme = target.Schemereq.URL.Host = target.Hostreq.URL.Path = singleJoiningSlash(target.Path, req.URL.Path)if targetQuery == "" || req.URL.RawQuery == "" {req.URL.RawQuery = targetQuery + req.URL.RawQuery} else {req.URL.RawQuery = targetQuery + "&" + req.URL.RawQuery}if _, ok := req.Header["User-Agent"]; !ok {req.Header.Set("User-Agent", "user-agent")}}http2.ConfigureTransport(transport)return &httputil.ReverseProxy{Director: director, Transport: transport,}
}func singleJoiningSlash(a, b string) string {aslash := strings.HasSuffix(a, "/")bslash := strings.HasPrefix(b, "/")switch {case aslash && bslash:return a + b[1:]case !aslash && !bslash:return a + "/" + b}return a + b
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/38935.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

科普文:一文搞懂jvm原理(三)执行引擎之垃圾回收器

科普文:一文搞懂jvm原理(三)执行引擎之垃圾回收器

概叙 科普文&#xff1a;一文搞懂jvm(一)jvm概叙-CSDN博客 科普文&#xff1a;一文搞懂jvm原理(二)类加载器-CSDN博客 科普文&#xff1a;一文搞懂jvm原理(三)执行引擎-CSDN博客 科普文&#xff1a;一文搞懂jvm原理(四)运行时数据区-CSDN博客 前面我们介绍了jvm&#xff0c…
阅读更多...
网安加·百家讲坛 | 刘志诚:从安全(Safety)团队看OpenAI之争的本质

网安加·百家讲坛 | 刘志诚:从安全(Safety)团队看OpenAI之争的本质

作者简介&#xff1a;刘志诚&#xff0c;乐信集团信息安全中心总监、OWASP广东区域负责人、网安加社区特聘专家。专注于企业数字化过程中网络空间安全风险治理&#xff0c;对大数据、人工智能、区块链等新技术在金融风险治理领域的应用&#xff0c;以及新技术带来的技术风险治理…
阅读更多...
软件测试面试题常见一百道【含答案】

软件测试面试题常见一百道【含答案】

1、问&#xff1a;你在测试中发现了一个bug&#xff0c;但是开发经理认为这不是一个bug&#xff0c;你应该怎样解决? 首先&#xff0c;将问题提交到缺陷管理库里面进行备案。 然后&#xff0c;要获取判断的依据和标准&#xff1a; 根据需求说明书、产品说明、设计文档等&am…
阅读更多...
安装docker compose与elasticsearch,kibana

安装docker compose与elasticsearch,kibana

1.docker compose安装 1.1是否已安装docker docker -v 1.2安装docker compose curl -SL https://github.com/docker/compose/releases/download/v2.18.0/docker-compose-linux-x86_64 -o /usr/local/bin/docker-composeps:如果网络太慢可直接在博客中下载附属文件 下载后修…
阅读更多...
轨迹规划 | 图解模型预测控制MPC算法(附ROS C++/Python/Matlab仿真)

轨迹规划 | 图解模型预测控制MPC算法(附ROS C++/Python/Matlab仿真)

目录 0 专栏介绍1 模型预测控制原理2 差速模型运动学3 基于差速模型的MPC控制4 仿真实现4.1 ROS C实现4.2 Python实现4.3 Matlab实现 0 专栏介绍 &#x1f525;附C/Python/Matlab全套代码&#x1f525;课程设计、毕业设计、创新竞赛必备&#xff01;详细介绍全局规划(图搜索、…
阅读更多...
【FFmpeg】av_read_frame函数

【FFmpeg】av_read_frame函数

目录 1.av_read_frame1.2 从pkt buffer中读取帧&#xff08;avpriv_packet_list_get&#xff09;1.3 从流当中读取帧&#xff08;read_frame_internal&#xff09;1.3.1 读取帧&#xff08;ff_read_packet&#xff09;1.3.2 解析packet&#xff08;parse_packet&#xff09;1.3…
阅读更多...
为什么要学习大模型应用开发?原因80%的人都不知道

为什么要学习大模型应用开发?原因80%的人都不知道

0 prompt engineer 就是prompt工程师它的底层透视。 1 学习大模型的重要性 底层逻辑 人工智能大潮已来&#xff0c;不加入就可能被淘汰。就好像现在职场里谁不会用PPT和excel一样&#xff0c;基本上你见不到。你问任何一个人问他会不会用PPT&#xff0c;他都会说会用&#x…
阅读更多...
喜讯|华院计算认知智能引擎算法平台荣登BPAA大赛创新组TOP50

喜讯|华院计算认知智能引擎算法平台荣登BPAA大赛创新组TOP50

6月25日&#xff0c;备受瞩目的BPAA第四届全球应用算法模型典范大赛&#xff08;以下简称“BPAA大赛”&#xff09;正式揭晓了《第四届全球应用算法模型典范大赛创业组TOP50榜单》和《第四届全球应用算法模型典范大赛创新组TOP50榜单》。其中&#xff0c;华院计算技术&#xff…
阅读更多...
[Microsoft Office]Word设置页码从第二页开始为1

[Microsoft Office]Word设置页码从第二页开始为1

目录 第一步&#xff1a;设置页码格式 第二步&#xff1a;设置“起始页码”为0 第三步&#xff1a;双击页码&#xff0c;出现“页脚”提示 第四步&#xff1a;选中“首页不同” 第一步&#xff1a;设置页码格式 第二步&#xff1a;设置“起始页码”为0 第三步&#xff1a;双…
阅读更多...
怎么把视频字幕提取出来?一招教你提取视频字幕

怎么把视频字幕提取出来?一招教你提取视频字幕

想必大家一定很有同感吧&#xff0c;视频已成为我们获取知识与新闻的主要渠道。 面对如此众多的视频资源&#xff0c;如何迅速筛选出核心信息并进行有效管理&#xff0c;成为了一项迫切需要解决的问题。 视频字幕提取翻译软件的问世&#xff0c;利用尖端的语音识别技术&#…
阅读更多...
【产品经理】订单处理11-订单修改场景梳理

【产品经理】订单处理11-订单修改场景梳理

为了应对订单修改的场景&#xff0c;电商ERP系统应该如何设计相应模块&#xff1f; 电商ERP系统&#xff0c;经常遇到需要修改订单的情况&#xff0c;修改订单主要以下几种场景&#xff1a; 一、修改商品 修改商品&#xff0c;包括对正常商品的换货、以及对赠品的增删改。 1…
阅读更多...
【Kaggle】Telco Customer Churn 数据编码与模型训练

【Kaggle】Telco Customer Churn 数据编码与模型训练

&#x1f4ac;在上一部分中&#xff0c;我们已经完成了对数据集背景解读、数据预处理与探索性分析。在数据背景解读中&#xff0c;我们介绍了数据集来源、电信用户流失分析的基本业务背景&#xff0c;并详细解释了每个字段的基本含义&#xff1b;在数据预处理过程中&#xff0c…
阅读更多...
安全隔离上网的有效途径:沙箱

安全隔离上网的有效途径:沙箱

在数字化浪潮日益汹涌的今天&#xff0c;网络安全成为了不可忽视的重要议题。沙箱技术作为一种高效的隔离机制&#xff0c;为企业和个人提供了一种在享受网络便利的同时&#xff0c;保障系统安全的解决方案。本文旨在深入探讨沙箱技术如何做到隔离上网&#xff0c;从而为用户提…
阅读更多...
AI系统:未来科技的驱动力

AI系统:未来科技的驱动力

引言 人工智能&#xff08;Artificial Intelligence, AI&#xff09;是一门研究如何使计算机模拟、延伸和扩展人类智能的学科。自20世纪50年代起&#xff0c;人工智能作为一项科学研究领域开始兴起。早期的AI系统主要集中在简单的任务&#xff0c;如棋类游戏和数学证明。随着计…
阅读更多...
华为云物联网的使用

华为云物联网的使用

这里我们设置三个属性 1.温度DHT11_T 上传 2.湿度DHT11_H 上传 3.风扇motor 远程控制&#xff08;云平台控制设备端&#xff09; 发布主题&#xff1a; $oc/devices/{device_id}/sys/properties/report 发布主题时&#xff0c;需要上传数据&#xff0c;这个数据格式是JSON格式…
阅读更多...
2007年上半年软件设计师【上午题】试题及答案

2007年上半年软件设计师【上午题】试题及答案

文章目录 2007年上半年软件设计师上午题--试题2007年上半年软件设计师上午题--答案2007年上半年软件设计师上午题–试题
阅读更多...
公司管理系统

公司管理系统

准备工作 上图mapper类型错了&#xff0c;不是class&#xff0c;是interface&#xff0c;修正过后的图片&#xff0c;如下所示 修正如下 spring.datasource.driver-class-namecom.mysql.cj.jdbc.Driver spring.datasource.urljdbc:mysql://localhost:3306/webm spring.datasour…
阅读更多...
【Tech Point】

【Tech Point】

ARM加速LLama C 加速对象 LLama C 加速对象 LLama C 关键技术&#xff1a; 使用neon加速指令进行SIMD操作&#xff1b;优化数据排布&#xff0c;降低数据读取的中断
阅读更多...
【区块链+基础设施】区块链服务网络 BSN | FISCO BCOS应用案例

【区块链+基础设施】区块链服务网络 BSN | FISCO BCOS应用案例

BSN&#xff08;Blockchain-based Service Network&#xff0c;区块链服务网络&#xff09;是一个跨云服务、跨门户、跨底层框架&#xff0c;用于部 署和运行各类区块链应用的全球性基础设施网络&#xff0c;旨在为开发者提供低成本和技术互通的区块链一站式服务。 2019 年 12…
阅读更多...
网络安全等级保护2.0(等保2.0)全面解析

网络安全等级保护2.0(等保2.0)全面解析

一、等保2.0的定义和背景 网络安全等级保护2.0&#xff08;简称“等保2.0”&#xff09;是我国网络安全领域的基本制度、基本策略、基本方法。它是在《中华人民共和国网络安全法》指导下&#xff0c;对我国网络安全等级保护制度进行的重大升级。等保2.0的发布与实施&#xff0c…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023