大拿分享：去哪兒網(wǎng)https改造分享

https大大改善了網(wǎng)站的安全性，減少了流量劫持，越安全的網(wǎng)站對(duì)用戶越有益。即便是https改造有些難度，也應(yīng)當(dāng)大力推進(jìn)https的改造。下面我們特邀了去哪網(wǎng)的同學(xué)進(jìn)行了關(guān)于https改造的分享!

本文作者：去哪兒高級(jí)工程師 歐陽(yáng)何順、去哪兒網(wǎng)SEO負(fù)責(zé)人 呂令建

 一、理解HTTPS

先不聊HTTP和HTTPS的區(qū)別，從聊天軟件說(shuō)起，假設(shè)我們要實(shí)現(xiàn)A能發(fā)一個(gè)hello消息給B，如果我們要實(shí)現(xiàn)這個(gè)聊天軟件，只考慮安全性問(wèn)題，要實(shí)現(xiàn)A發(fā)給B的hello消息包，即使被中間人攔截到了，也無(wú)法得知消息的內(nèi)容。

那么，如何做到真正的安全呢?目標(biāo)是A與B通信的內(nèi)容，有且只有A和B有能力看到通信的真正內(nèi)容，為了防止內(nèi)容被第三方竊取，發(fā)送方可以通過(guò)密鑰S對(duì)聊天內(nèi)容進(jìn)行加密，接收方在收到聊天內(nèi)容之后，再用密鑰S解密聊天內(nèi)容，只要密鑰不公開(kāi)給第三者，同時(shí)密鑰S足夠安全，我們就可以保證只有A與B知道聊天內(nèi)容。

二、HTTPS的優(yōu)缺點(diǎn)

優(yōu)點(diǎn) 

SEO方面：谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會(huì)更高”。

安全性：盡管HTTPS并非絕對(duì)安全，掌握根證書(shū)的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊，但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案，主要有以下幾個(gè)好處：

使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;

HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全，可防止數(shù)據(jù)在傳輸過(guò)程中不被竊取、改變，確保數(shù)據(jù)的完整性;

HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對(duì)安全，但它大幅增加了中間人攻擊的成本。

缺點(diǎn) 

SEO方面：據(jù)ACM CoNEXT數(shù)據(jù)顯示，使用HTTPS協(xié)議會(huì)使頁(yè)面的加載時(shí)間延長(zhǎng)近50%，增加10%到20%的耗電，此外，HTTPS協(xié)議還會(huì)影響緩存，增加數(shù)據(jù)開(kāi)銷和功耗，甚至已有安全措施也會(huì)受到影響也會(huì)因此而受到影響。

經(jīng)濟(jì)方面：SSL證書(shū)需要錢(qián)，功能越強(qiáng)大的證書(shū)費(fèi)用越高，個(gè)人網(wǎng)站、小網(wǎng)站沒(méi)有必要一般不會(huì)用;

HTTPS連接緩存不如HTTP高效，大流量網(wǎng)站如非必要也不會(huì)采用，流量成本太高;

HTTPS連接服務(wù)器端資源占用高很多，支持訪客稍多的網(wǎng)站需要投入更大的成本，如果全部采用HTTPS，基于大部分計(jì)算資源閑置的假設(shè)的VPS的平均成本會(huì)上去;

HTTPS協(xié)議握手階段比較費(fèi)時(shí)，對(duì)網(wǎng)站的相應(yīng)速度有負(fù)面影響，如非必要，沒(méi)有理由犧牲用戶體驗(yàn)。

三、支持HTTPS的方式

增加HTTPS的支持需要在nginx或者tomcat上增加證書(shū)(證書(shū)需要ops來(lái)購(gòu)買)，兩種方法只需要選用其中一種。我們選擇了通過(guò)nginx配置證書(shū)的方式來(lái)做HTTPS支持的事情。原因是這種方式可以通過(guò)ops統(tǒng)一配置證書(shū)，不需要在每臺(tái)服務(wù)器上依次配置HTTPS證書(shū)，能提升配置效率。

通過(guò)tomcat配置證書(shū)

在開(kāi)發(fā)環(huán)境里時(shí)，需要自己來(lái)生成證書(shū)：1、生成證書(shū);2、找到j(luò)ava的目錄;3、生成一個(gè)證書(shū)。

• keytool -v-genkey -alias tomcat -keyalg RSA -keystore ~/keystore

記住生成證書(shū)時(shí)的密碼

在tomcat的conf/server.xml 配置里增加connector

譬如，我的是server.xml

•    

•                maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

•                enableLookups="true" disableUploadTimeout="true"

•                acceptCount="100" debug="0" scheme="https" secure="true"

•                clientAuth="false" sslProtocol="TLS"

•                keystorePass="121212"  ---- 這個(gè)是您當(dāng)時(shí)的密碼

•                SSLEnabled="true"

•                keystoreFile="/home/q/keystore" -- 這個(gè)您第二步時(shí)，生成證書(shū)的地址

•                />

使用這種方法，直接用request.getSchmeme()能夠看到https

通過(guò)nginx配置證書(shū)

在已經(jīng)購(gòu)買好證書(shū)的前提下，可以通過(guò)以下方式配置證書(shū)。

nginx配置

• server {

•        listen 443; 

•         server_name dujia.qunar.com;

•         charset utf8; 

•         gzip off; 

•         ssl on;

•         ssl_certificate/home/q/nginx/ssl/server.crt;

•         ssl_certificate_key/home/q/nginx/ssl/server.key; 

•         if ( $request_method !~ GET|POST|HEAD ) {

•             return 403;

•         }

•        proxy_set_header Host "dujia.qunar.com";

•         proxy_set_header X-Real-IP$remote_addr;

•         proxy_set_header X-Forwarded-For$proxy_add_x_forwarded_for;

•         proxy_set_header dj-sch "https";

•         proxy_set_header X-Real-Scheme $scheme;

•         location / {

•             proxy_pass http://127.0.0.1：80;

•             #proxy_pass http://p.tuan.qunar.com;

•         }

•      }

在java中通過(guò)X-Real-Scheme或dj-sch獲取當(dāng)前協(xié)議

SchemeUtil.java

•     private static String HTTPS_HEADER = "X-Real-Scheme";

•     private static String HTTPS_SCHEME = "https";

•     private static String HTTP_SCHEME = "http";

•     public static String getScheme(HttpServletRequest request){

•         String scheme = request.getHeader(HTTPS_HEADER);

•         if(scheme != null &&scheme.equals(HTTPS_SCHEME)){

•             return HTTPS_SCHEME;

•         }else {

•             return HTTP_SCHEME;

•         }

•     }

四、代碼涉及的改動(dòng)

頁(yè)面請(qǐng)求的靜態(tài)資源

js && css

后臺(tái)將jsp中

域名為http://*.quanrzz.com 的js，css鏈接改為 //*.qunarzz.com

圖片

將jsp和java工程中給出的圖片url進(jìn)行修改(原因是當(dāng)前實(shí)用的圖片服務(wù)器不能同時(shí)支持http和https)，圖片的http和https域名對(duì)應(yīng)關(guān)系如下：

 

接口

內(nèi)部接口：修改接口返回的url，統(tǒng)一格式為：//xxx.xx.xx/;

圖片url會(huì)根據(jù)服務(wù)請(qǐng)求端的協(xié)議做自適應(yīng)，比如：用戶以https協(xié)議請(qǐng)求服務(wù)，接口返回的圖片url對(duì)應(yīng)的協(xié)議也是https。圖片url不以“//xxx.xx.xx/”形式返回的原因是android和ios默認(rèn)不支持展示不帶協(xié)議的圖片。

外部接口：當(dāng)調(diào)用其他業(yè)務(wù)線的一些接口不支持https時(shí)，我們的處理方式是通過(guò)代理接口來(lái)調(diào)用這些外部接口。

五、遇到的問(wèn)題及處理方案

nginx上對(duì)443端口的請(qǐng)求在header里添加https標(biāo)記，需要和后端保證一致;

用戶中心個(gè)別的css和js在https環(huán)境下需要在引入時(shí)標(biāo)記css/js=ssl;

同一個(gè)域名下面，部分內(nèi)部調(diào)用的接口，是不需要支持https的，因此在做nginx轉(zhuǎn)發(fā)的時(shí)候，需要針對(duì)這些uri做特殊處理。

文章名稱：大拿分享：去哪兒網(wǎng)https改造分享
轉(zhuǎn)載來(lái)源：http://www.muchs.cn/news/100863.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)公司、域名注冊(cè)、網(wǎng)站收錄、手機(jī)網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)