使用 NodeJS+express 在 Cloud Foundry 应用程序中进行相互身份验证
Mutual Authentication in Cloud Foundry Application with NodeJS+express
我开发了一个 NodeJs+express 应用程序,在 IBM Cloud 中部署为 Cloud Foundry 应用程序。
我想执行 相互身份验证 (客户端和服务器证书)以控制传入流量和对我的应用程序的请求。我的证书由 Secure Gateway 生成,如 here 所述,我的应用程序配置为云目标(可从 on-premises 客户端访问)。
安全网关生成了以下 pem 文件:服务器的主要证书、中间证书和根证书以及目标证书和密钥。
在文档中有一个非常清楚的 Nodejs example using tls.createServer。
在我的场景中存在一些差异:
首先,我处于相反的场景(on-prem 客户端通过创建隧道的安全网关连接到云应用程序)。
其次,这是 post 的主要原因,我的应用程序部署为 CF 应用程序。
阅读有关 HTTP routing 的 CF 文档我发现 IBM 云仅使用端口 80 和 443,然后通过 HTTP 将请求转发到应用程序正在侦听的端口(例如,如果我的 NodeJs 是 运行 在端口 6001 上,我在端口 443 上调用云端点,GoRouter 将通过 HTTP 将请求转发到正确的端口,添加 X-Forwarded-Proto
header 以将原始信息传递给应用程序用于请求的协议。
考虑到这一点(假设这是正确的),在我的 NodeJs 代码中我不能使用类似 https.createServer(opts, app)
的东西,因为所有到达 App Container 的请求都将通过 HTTP。
正在阅读 CF 文档here我知道可以告诉 CF 将证书转发到我的应用程序,但有些事情我无法真正理解。
首先,在 Load Balancer 或 GoRouter 终止 TLS 有什么区别?这个选择背后的原因是什么?
我的第二个问题是,当证书作为 HTTP headers 转发到我的应用程序后,处理证书的正确方法是什么?这是因为我的 NodeJs 服务器将是一个 http 服务器,以标准方式使用 express 创建 http.createServer(app)
。
感谢所有帮助我解决这个问题的人。显然,如果您有任何示例或建议,那将非常有帮助。
Reading CF documentation about HTTP routing I figured out that IBM cloud only uses ports 80 and 443 and then forwards the requests via HTTP to the ports the app is listening to (for example if my NodeJs is running on port 6001 and I call the cloud endpoint on port 443, the GoRouter will forward the request via HTTP to the correct port, adding the X-Forwarded-Proto header to pass the application the information of the original protocol used for the request.
Having this in mind (assuming this is correct), in my NodeJs code I cannot use something like https.createServer(opts, app) giving that all the requests coming to the App Container will be via HTTP.
没错。
First of all what is the difference between terminating TLS at Load Balancer or at GoRouter? What are the reasons behind this choice?
这仅适用于您运行自己的 Cloud Foundry 平台的情况。如果您将应用程序部署到由其他人运营的 Cloud Foundry 平台,他们将做出此决定并且不会影响您作为用户。
作为运营商,这是你需要做出的选择。有一些 trade-offs 取决于您选择做什么。
您可以在 LB 终止。这通常是最快的,因为 LB 在处理 TLS/SSL 时非常有效。然后 LB 可以将未加密的流量转发到 Gorouter,这减少了 Gorouter 的工作,但代价是不对两者之间的流量进行加密(可能不行,具体取决于安全要求)。在这种情况下,LB 有责任添加 x-forwarded-*
headers.
浏览器 -> HTTPS -> LB -> HTTP -> Gorouters -> HTTP -> 你的应用程序
您可以使用第 4 层 LB 并在您的 Gorouter 之间平衡连接。这使 Gorouter 能够终止 TLS/SSL。他们在这方面非常有效,但不如大多数 LB。这也会让你在 Gorouter 的请求路径中加密。在这种情况下,Gorouter 有责任添加 x-forwarded-*
headers.
浏览器 -> HTTPS -> LB -> HTTPS -> Gorouters -> HTTP -> 你的应用程序
你可以在 LB 处终止,但在 LB 和 Gorouter 之间打开一个新的 TLS/SSL session。这是效率最低的选项,因为它需要终止两个 TLS/SSL sessions,但它提供了在请求路径中直到 Gorouter 的加密。它也往往是与 non-layer-4 LB 一起工作时最灵活的,它可以让您的 LB 检查 HTTP 流量,因为您要在 LB 处终止 session。在这种情况下,LB 有责任添加 x-forwarded-*
headers.
浏览器 -> HTTPS (session A) -> LB -> HTTPS (session B) -> Gorouters -> HTTP -> 你的应用程序
同样,如果您没有运行 Cloud Foundry 平台,那么您可以忽略它。
My second question is which is the correct way of handling the certificates once they are forwarded to my application as HTTP headers? This is due to the fact the my NodeJs server will be an http server, created with express in the standard way http.createServer(app).
您不需要对创建服务器的方式做任何花哨的事情。您需要做的就是查看 x-forwarded-*
headers 并使用它们做出决定。
请求是否通过 HTTPS 传入? 查看任一 x-forwarded-proto
,对于 HTTPS 请求应设置为 https
或查看 x-forwarded-port
,对于 HTTPS 请求应设置为 443
。
是否随请求提供了客户端证书? 查看 X-Forwarded-Client-Cert
。如果它包含证书,则客户端提供了证书。
客户端证书是否有效? 如果您的应用收到请求,则客户端证书有效。您知道这一点,因为平台会为您处理该部分。由于平台(LB 或 Gorouter)正在终止 TLS/SSL 连接,因此它有责任验证证书。如果您的应用收到请求并设置了 x-forwarded-client-cert
,则证书有效。
我如何根据客户端证书做出授权决定? 这有点棘手,但通常您会从 x-forwarded-client-cert
, read/parse 它并根据证书内容做出决定(我们知道这是有效的平台)。您很可能会查看主题名称并将其视为用户名。然后查找该用户的角色或权限。但是,您如何处理这取决于您作为开发人员。
希望对您有所帮助!
我开发了一个 NodeJs+express 应用程序,在 IBM Cloud 中部署为 Cloud Foundry 应用程序。 我想执行 相互身份验证 (客户端和服务器证书)以控制传入流量和对我的应用程序的请求。我的证书由 Secure Gateway 生成,如 here 所述,我的应用程序配置为云目标(可从 on-premises 客户端访问)。
安全网关生成了以下 pem 文件:服务器的主要证书、中间证书和根证书以及目标证书和密钥。 在文档中有一个非常清楚的 Nodejs example using tls.createServer。
在我的场景中存在一些差异: 首先,我处于相反的场景(on-prem 客户端通过创建隧道的安全网关连接到云应用程序)。 其次,这是 post 的主要原因,我的应用程序部署为 CF 应用程序。
阅读有关 HTTP routing 的 CF 文档我发现 IBM 云仅使用端口 80 和 443,然后通过 HTTP 将请求转发到应用程序正在侦听的端口(例如,如果我的 NodeJs 是 运行 在端口 6001 上,我在端口 443 上调用云端点,GoRouter 将通过 HTTP 将请求转发到正确的端口,添加 X-Forwarded-Proto
header 以将原始信息传递给应用程序用于请求的协议。
考虑到这一点(假设这是正确的),在我的 NodeJs 代码中我不能使用类似 https.createServer(opts, app)
的东西,因为所有到达 App Container 的请求都将通过 HTTP。
正在阅读 CF 文档here我知道可以告诉 CF 将证书转发到我的应用程序,但有些事情我无法真正理解。
首先,在 Load Balancer 或 GoRouter 终止 TLS 有什么区别?这个选择背后的原因是什么?
我的第二个问题是,当证书作为 HTTP headers 转发到我的应用程序后,处理证书的正确方法是什么?这是因为我的 NodeJs 服务器将是一个 http 服务器,以标准方式使用 express 创建 http.createServer(app)
。
感谢所有帮助我解决这个问题的人。显然,如果您有任何示例或建议,那将非常有帮助。
Reading CF documentation about HTTP routing I figured out that IBM cloud only uses ports 80 and 443 and then forwards the requests via HTTP to the ports the app is listening to (for example if my NodeJs is running on port 6001 and I call the cloud endpoint on port 443, the GoRouter will forward the request via HTTP to the correct port, adding the X-Forwarded-Proto header to pass the application the information of the original protocol used for the request.
Having this in mind (assuming this is correct), in my NodeJs code I cannot use something like https.createServer(opts, app) giving that all the requests coming to the App Container will be via HTTP.
没错。
First of all what is the difference between terminating TLS at Load Balancer or at GoRouter? What are the reasons behind this choice?
这仅适用于您运行自己的 Cloud Foundry 平台的情况。如果您将应用程序部署到由其他人运营的 Cloud Foundry 平台,他们将做出此决定并且不会影响您作为用户。
作为运营商,这是你需要做出的选择。有一些 trade-offs 取决于您选择做什么。
您可以在 LB 终止。这通常是最快的,因为 LB 在处理 TLS/SSL 时非常有效。然后 LB 可以将未加密的流量转发到 Gorouter,这减少了 Gorouter 的工作,但代价是不对两者之间的流量进行加密(可能不行,具体取决于安全要求)。在这种情况下,LB 有责任添加
x-forwarded-*
headers.浏览器 -> HTTPS -> LB -> HTTP -> Gorouters -> HTTP -> 你的应用程序
您可以使用第 4 层 LB 并在您的 Gorouter 之间平衡连接。这使 Gorouter 能够终止 TLS/SSL。他们在这方面非常有效,但不如大多数 LB。这也会让你在 Gorouter 的请求路径中加密。在这种情况下,Gorouter 有责任添加
x-forwarded-*
headers.浏览器 -> HTTPS -> LB -> HTTPS -> Gorouters -> HTTP -> 你的应用程序
你可以在 LB 处终止,但在 LB 和 Gorouter 之间打开一个新的 TLS/SSL session。这是效率最低的选项,因为它需要终止两个 TLS/SSL sessions,但它提供了在请求路径中直到 Gorouter 的加密。它也往往是与 non-layer-4 LB 一起工作时最灵活的,它可以让您的 LB 检查 HTTP 流量,因为您要在 LB 处终止 session。在这种情况下,LB 有责任添加
x-forwarded-*
headers.浏览器 -> HTTPS (session A) -> LB -> HTTPS (session B) -> Gorouters -> HTTP -> 你的应用程序
同样,如果您没有运行 Cloud Foundry 平台,那么您可以忽略它。
My second question is which is the correct way of handling the certificates once they are forwarded to my application as HTTP headers? This is due to the fact the my NodeJs server will be an http server, created with express in the standard way http.createServer(app).
您不需要对创建服务器的方式做任何花哨的事情。您需要做的就是查看 x-forwarded-*
headers 并使用它们做出决定。
请求是否通过 HTTPS 传入? 查看任一
x-forwarded-proto
,对于 HTTPS 请求应设置为https
或查看x-forwarded-port
,对于 HTTPS 请求应设置为443
。是否随请求提供了客户端证书? 查看
X-Forwarded-Client-Cert
。如果它包含证书,则客户端提供了证书。客户端证书是否有效? 如果您的应用收到请求,则客户端证书有效。您知道这一点,因为平台会为您处理该部分。由于平台(LB 或 Gorouter)正在终止 TLS/SSL 连接,因此它有责任验证证书。如果您的应用收到请求并设置了
x-forwarded-client-cert
,则证书有效。我如何根据客户端证书做出授权决定? 这有点棘手,但通常您会从
x-forwarded-client-cert
, read/parse 它并根据证书内容做出决定(我们知道这是有效的平台)。您很可能会查看主题名称并将其视为用户名。然后查找该用户的角色或权限。但是,您如何处理这取决于您作为开发人员。
希望对您有所帮助!