近来使用Halo搭建博客,并顺便把WeHalo小程序也把玩了起来,但是发现几个非常棘手的问题:
- 根据访问日志发现有三方在刷取关键接口的请求,http请求在部分情况下会暴露出很显著的安全问题;
- 小程序强制依赖https,非https连接不能使用,尝试三方开源的v-request替换也是效果不太好;
- 第三个问题是由以上问题衍生的,如果升级https网站域名首先就是需要备案,对于个人博客来说,稳定性要求没有那么高,备案流程复杂,想想还是算了吧;
那能怎么办呢?条件不够,技术来凑。
众所周知,http和https请求的默认端口分别为80和443,那么能否实现非标准端口的https呢,这样就能绕过未备案的限制。
经过对https资料的查找,发现有很大希望实现,有这么关键的几点。
https基本原理就不在熬述了,直接引用资料原文:
通过 ACME 协议向 Let's Encrypt 证明自己的域名所有权的过程就叫做 Challenge (验证),目前有三种 Challenge 的方式:
- HTTP-01
- NS-01
- TLS-SNI-01 (已禁用)
- TLS-ALPN-01
HTTP-01是目前最常见的验证方式,但是该验证方式需要通过80端口开放一个路径给Let's Encrypt访问它提供的 token来验证你的域名所有权,因此在80端口被封锁的情况下这个验证方式是不现实的;
类似的,TLS-ALPN-01需要通过443端口访问来验证,也是行不通;
这样对于国内家庭带宽用户来说就只剩下了一种方式:DNS-01。
了解这些后,解决方案就一目了然了,就是用DNS-01方式进行https验证。
有了这些信息,想法可行,接下来就是寻找合适的工具来实现了。
caddy给我们进行了很好的集成,基于golang的caddy就是一个编译过后的二进制文件,轻巧、实用。
caddy原生https的实现是基于Let's Encrypt的,想要使用DNS-01的https实现需要附带插件,这里我们阿里云的dns服务商,需要选择 github.com/caddy-dns/lego-deprecated;
下载完成后的caddy文件就是包含附件的可执行文件了;
接下来我们编写Caddyfile配置文件,有两个配置要点:
- 指定http和https监听端口;
- 配置请求指向;
{
http_port 1234
https_port 2234
}
xxx {
reverse_proxy localhost:8081
tls {
dns lego_deprecated alidns
}
}
配置完成还不行,我们需要按照lego_deprecated的文档,建立文件,配置以下:
ALICLOUD_ACCESS_KEY=xxx
ALICLOUD_SECRET_KEY=xxx
关键参数(此部分参数需要从阿里云后台进行获取),便于联系对应dns进行相关的操作;
最后使用caddy指令带上配置好的文件直接启动
caddy run --config Caddyfile --envfile alidns.env
大功告成!