通過Nginx反向代理，實現(xiàn)遠程調(diào)試本機代碼

程序員的成長之路

互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?

閱讀本文大概需要 3 分鐘。

來源：segmentfault.com/a/1190000021453331

>>號外：公眾號改版后文章順序不固定，歡迎大家把公眾號「程序員的成長之路」設(shè)置為星標，感謝大家的支持！！

背景

現(xiàn)在公司項目都是前后端分離的方式開發(fā)，有些時候由于某些新需求開發(fā)或者 bug 修改，想要讓前端直接連到我本地開發(fā)環(huán)境進行調(diào)試，而前端代碼我并沒有，只能通過前端部署的測試環(huán)境進行測試，最簡單的辦法就是直接改 host 把后端測試環(huán)境的域名指向我本地的 IP，這對于 HTTP 協(xié)議的服務(wù)來說是很輕易做到的。

不過公司的測試環(huán)境全部上了 HTTPS，而我本地的服務(wù)是 HTTP 協(xié)議這樣就算是改了 host 也會由于協(xié)議不同導(dǎo)致請求失敗，所以需要將本地的服務(wù)升級成 HTTPS 才行。

方案

其實 springboot 本身就支持 HTTPS(howto-configure-ssl)，但是這需要改項目代碼不太優(yōu)雅，于是就想直接用nginx反向代理到本地服務(wù)，這樣在nginx層面做 HTTPS 就不需要改代碼了，只需修改 host 將后端測試環(huán)境域名指向?nginx?服務(wù)的 IP 即可，而且可以適用于其它的 HTTP 服務(wù)開發(fā)調(diào)試。

簽發(fā)證書

首先要生成一套證書用于 nginx 的 ssl 配置，直接使用openssl工具生成一套根證書和對應(yīng)的服務(wù)證書。

1.根證書生成

#?生成一個RSA私鑰
openssl?genrsa?-out?root.key?2048
#?通過私鑰生成一個根證書
openssl?req?-sha256?-new?-x509?-days?365?-key?root.key?-out?root.crt?\
????-subj?"/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=fakerRoot"

2.服務(wù)器證書生成

#?生成一個RSA私鑰
openssl?genrsa?-out?server.key?2048
#?生成一個帶SAN擴展的證書簽名請求文件
openssl?req?-new?\
????-sha256?\
????-key?server.key?\
????-subj?"/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=xxx.com"?\
????-reqexts?SAN?\
????-config?<(cat?/etc/pki/tls/openssl.cnf?\
????????<(printf?"[SAN]\nsubjectAltName=DNS:*.xxx.com,DNS:*.test.xxx.com"))?\
????-out?server.csr
#?使用之前生成的根證書做簽發(fā)
openssl?ca?-in?server.csr?\
????-md?sha256?\
????-keyfile?root.key?\
????-cert?root.crt?\
????-extensions?SAN?\
????-config?<(cat?/etc/pki/tls/openssl.cnf?\
????????<(printf?"[SAN]\nsubjectAltName=DNS:xxx.com,DNS:*.test.xxx.com"))?\
????-out?server.crt

這樣就得到了三個關(guān)鍵文件：

• root.crt:根證書

• server.key:服務(wù)證書私鑰

• server.crt:服務(wù)證書

注：生成的服務(wù)器證書域名要支持測試環(huán)境訪問的域名，否則瀏覽器會提示證書不安全。

nginx 配置

為了方便，直接使用docker啟動了一個 nginx 容器進行訪問，并將證書和配置文件掛載到對應(yīng)的目錄：

nginx.conf

server?{
????listen?443?ssl;
????server_name?_;
????ssl_certificate?"/usr/local/nginx/ssl/server.pem";
????ssl_certificate_key?"/usr/local/nginx/ssl/server.key";
????location?/?{
????????proxy_set_header?X-Real-IP?$remote_addr;
????????proxy_set_header?X-Forwarded-For?$proxy_add_x_forwarded_for;
????????proxy_set_header?X-Forwarded-Proto?$scheme;
????????proxy_set_header?Host?$http_host;
????????proxy_set_header?X-NginX-Proxy?true;
????????proxy_set_header?Upgrade?$http_upgrade;
????????proxy_set_header?Connection?"upgrade";
????????proxy_pass?http://127.0.0.1:3000;
????????proxy_redirect?off;
????????proxy_http_version?1.1;
????}
}

通過配置ssl_certificate和ssl_certificate_key來指定服務(wù)器的證書和私鑰，proxy_pass指定開發(fā)環(huán)境的訪問地址。

啟動

docker?run?-d?--name?https?-p?443:443?-v?~/forword/ssl:/usr/local/nginx/ssl?-v?~/forword/config/nginx.conf:/etc/nginx/conf.d/default.conf??nginx

將 nginx 配置和證書相關(guān)文件掛載至對應(yīng)的目錄，并暴露 443 端口，這樣服務(wù)啟動后即可通過 https 訪問到本地開發(fā)環(huán)境了。

安裝根證書

由于服務(wù)證書是自己簽發(fā)的，并不會被瀏覽器所信任，所以需要將根證書安裝至操作系統(tǒng)中。

1.打開 chrome 瀏覽器->設(shè)置->高級->管理證書

2.受信任的根證書頒發(fā)機構(gòu)->導(dǎo)入

3.選擇之前生成的根證書root.crt導(dǎo)入即可

修改 host

在需要調(diào)試時，只需要將本地服務(wù)啟動，再將 host 中將要測試的域名解析到nginx服務(wù)器的 IP，即可將前端請求轉(zhuǎn)發(fā)到開發(fā)環(huán)境上，通過瀏覽器地址欄的小鎖圖標可以看到證書，已驗證服務(wù)已經(jīng)部署成功。

后記

本文中其實已經(jīng)提到了兩種解決方案了，其實還有其它的解決方案，例如使用fidder這種中間人攻擊的方式來實現(xiàn)，這里就不做多敘了。

推薦閱讀：

SpringBoot實現(xiàn)QQ郵箱注冊和登錄

用了 3 年 Apollo，這次我選擇了 Nacos，原因不多說了

5T技術(shù)資源大放送！包括但不限于：C/C++，Linux，Python，Java，PHP，人工智能，單片機，樹莓派，等等。在公眾號內(nèi)回復(fù)「2048」，即可免費獲取！！

微信掃描二維碼，關(guān)注我的公眾號

朕已閱?