node.js - 使用 NodeJS+express 在 Cloud Foundry 应用程序中进行相互身份验证

Question

我开发了一个 NodeJs+express 应用程序，在 IBM Cloud 中部署为 Cloud Foundry 应用程序。我想执行相互身份验证(客户端和服务器证书)以控制传入流量和对我的应用程序的请求。我的证书由 Secure Gateway 生成，如 here 所述将我的应用程序配置为云目标(从本地客户端访问)。

安全网关已生成以下 pem 文件:服务器的主要证书、中间证书和根证书以及目标证书和 key 。在文档中有一个非常清楚的 Nodejs example使用 tls.createServer。

在我的场景中存在一些差异:首先，我处于相反的场景(本地客户端通过创建隧道的安全网关连接到云应用程序)。其次，这是这篇文章的主要原因，我的应用程序部署为 CF 应用程序。

阅读关于 HTTP routing 的 CF 文档我发现 IBM 云仅使用端口 80 和 443，然后通过 HTTP 将请求转发到应用程序正在监听的端口(例如，如果我的 NodeJs 在端口 6001 上运行并且我在端口 443 上调用云端点，GoRouter将通过 HTTP 将请求转发到正确的端口，添加 X-Forwarded-Proto header 以向应用程序传递用于请求的原始协议(protocol)的信息。

考虑到这一点(假设这是正确的)，在我的 NodeJs 代码中我不能使用像 https.createServer(opts, app) 这样的东西，因为所有到达 App Container 的请求都将是通过 HTTP。

阅读 CF 文档 here我知道可以告诉 CF 将证书转发到我的应用程序，但有些事情我无法真正理解。

首先，在 Load Balancer 或 GoRouter 终止 TLS 有什么区别？这个选择背后的原因是什么？

我的第二个问题是，当证书作为 HTTP header 转发到我的应用程序后，处理证书的正确方法是什么？这是因为我的 NodeJs 服务器将是一个 http 服务器，以标准方式 http.createServer(app) 使用 express 创建。

感谢所有帮助我解决这个问题的人。显然，如果您有任何示例或建议，那将非常有帮助。

Answer 1

Reading CF documentation about HTTP routing I figured out that IBM cloud only uses ports 80 and 443 and then forwards the requests via HTTP to the ports the app is listening to (for example if my NodeJs is running on port 6001 and I call the cloud endpoint on port 443, the GoRouter will forward the request via HTTP to the correct port, adding the X-Forwarded-Proto header to pass the application the information of the original protocol used for the request.

Having this in mind (assuming this is correct), in my NodeJs code I cannot use something like https.createServer(opts, app) giving that all the requests coming to the App Container will be via HTTP.

没错。

First of all what is the difference between terminating TLS at Load Balancer or at GoRouter? What are the reasons behind this choice?

这仅适用于您运行自己的 Cloud Foundry 平台的情况。如果您将应用程序部署到由其他人运营的 Cloud Foundry 平台，他们将做出此决定，这不会影响您作为用户。

作为运营商，这是您需要做出的选择。根据您的选择，需要进行一些权衡。

1. 您可以在 LB 处终止。这通常是最快的，因为 LB 在处理 TLS/SSL 时非常有效。然后 LB 可以将未加密的流量转发到 Gorouter，这减少了 Gorouter 的工作，但代价是不对两者之间的流量进行加密(可能不太好，具体取决于安全要求)。在这种情况下，LB 有责任添加 x-forwarded-* header 。

   浏览器 -> HTTPS -> LB -> HTTP -> Gorouters -> HTTP -> 你的应用

2. 您可以使用第 4 层 LB 并在您的 Gorouter 之间平衡连接。这使 Gorouter 能够终止 TLS/SSL。他们在这方面非常有效，但不如大多数 LB。这也会让你在 Gorouter 的请求路径中加密。在这种情况下，Gorouter 负责添加 x-forwarded-* header 。

   浏览器 -> HTTPS -> LB -> HTTPS -> Gorouters -> HTTP -> 你的应用

3. 您可以在 LB 处终止，但在 LB 和 Gorouter 之间打开一个新的 TLS/SSL session 。这是效率最低的选项，因为它需要终止两个 TLS/SSL session ，但它在 Gorouter 的请求路径中提供了加密。它也往往是与非第 4 层 LB 一起工作时最灵活的，它可以让您的 LB 检查 HTTP 流量，因为您要在 LB 处终止 session 。在这种情况下，LB 有责任添加 x-forwarded-* header 。

   浏览器 -> HTTPS( session A)-> LB -> HTTPS( session B)-> Gorouters -> HTTP -> 你的应用

同样，如果您没有运行 Cloud Foundry 平台，那么您可以忽略它。

My second question is which is the correct way of handling the certificates once they are forwarded to my application as HTTP headers? This is due to the fact the my NodeJs server will be an http server, created with express in the standard way http.createServer(app).

您不需要对创建服务器的方式做任何花哨的事情。您需要做的就是查看 x-forwarded-* header 并使用它们做出决定。

1. 请求是通过 HTTPS 传入的吗？查看 x-forwarded-proto，它应该设置为 https对于 HTTPS 请求或查看 x-forwarded-port，对于 HTTPS 请求应设置为 443。

2. 是否随请求提供了客户端证书？查看 X-Forwarded-Client-Cert。如果它包含证书，则客户端提供了证书。

3. 客户端的证书是否有效？如果您的应用收到请求，则客户端的证书有效。您知道这一点，因为平台会为您处理该部分。由于平台(LB 或 Gorouter)正在终止 TLS/SSL 连接，因此它有责任验证证书。如果您的应用收到请求并且设置了 x-forwarded-client-cert，则该证书有效。

4. 我如何根据客户端证书做出授权决定？这有点棘手，但通常您会从 x-forwarded-client- 中提取证书cert，读取/解析它并根据证书内容做出决定(我们知道这是有效的平台)。您很可能会查看主题名称并将其视为用户名。然后查找该用户的角色或权限。但是，您如何处理这取决于您作为开发者。

希望对您有所帮助!