HTTP-代理-中间件+express+Node.js-在启用客户端证书身份验证的情况下无法重定向到endpoint
我正在使用http-proxy-middleware(https://www.npmjs.com/package/http-proxy-middleware)实现另一个REST API的代理,该API启用了基于客户端证书的身份验证(RequestCert:true,RejectunAuthorized:true)。
客户端调用代理API(https://localhost:3000/auth),其中配置了http-proxy-middleware,并将其代理到另一个REST API(https://localhost:3002/auth),该API启用了基于客户端证书的身份验证(requestcert:true,rejectunauthorized:true)。
我不希望在代理服务器上发生任何特定的身份验证。当我使用一条路径调用代理时,该路径将通过基于客户端证书的身份验证路由到此目标endpoint,它将失败,并显示错误消息:
代理服务器中收到错误:
[HPM] Rewriting path from "/auth" to ""
[HPM] GET /auth ~> https://localhost:3002/auth
RAW REQUEST from the target {
"host": "localhost:3000",
"connection": "close"
}
redirecting to auth
[HPM] Error occurred while trying to proxy request from localhost:3000 to https://localhost:3002/auth (EPROTO) (https://nodejs.org/api/errors.html#errors_common_system_errors)
客户端收到错误:
Proxy error: Error: write EPROTO 28628:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:c:\ws\deps\openssl\openssl\ssl\record\rec_layer_s3.c:1536:SSL alert number 40
我不需要代理以任何方式验证/处理随传入请求而来的客户端证书(我为此设置了secure:false),而只需要将其转发到目标endpoint。我们看到从客户端接收到的证书没有被传递/代理/转发到目标endpoint,因此基于证书的身份验证在目标endpoint上失败。
直接发送到目标endpoint的客户端请求是有效的,而通过HTTP代理中间件代理发送的客户端请求是无效的。
下面给出了我的测试服务器,客户端代码供参考。
是否有某种方法来配置HTTP代理中间件,以便它将从客户端接收到的客户端证书转发/代理到目标endpoint,从而使客户端发送的客户端证书可用于目标RESTendpoint上基于证书的验证?
能否请您指导我如何使用http-proxy-middleware包或任何其他合适的方式来做到这一点?提前道谢。
服务器代码
// Certificate based HTTPS Server
var authOptions = {
key: fs.readFileSync('./certs/server-key.pem'),
cert: fs.readFileSync('./certs/server-crt.pem'),
ca: fs.readFileSync('./certs/ca-crt.pem'),
requestCert: true,
rejectUnauthorized: true
};
var authApp = express();
authApp.get('/auth', function (req, res) {
res.send("data from auth");
});
var authServer = https.createServer(authOptions, authApp);
authServer.listen(3002);
// HTTP Proxy Middleware
var authProxyConfig = proxy({
target: 'https://localhost:3002/auth',
pathRewrite: {
'^/auth': '' // rewrite path
},
changeOrigin: true,
logLevel: 'debug',
secure: false,
onProxyReq: (proxyReq, req, res) => {
// Incoming request ( req ) : Not able to see the certificate that was passed by client.
// Refer the following client code for the same
},
onError: (err, req, res) => {
res.end(`Proxy error: ${err}.`);
}
});
proxyApp.use('/auth', authProxyConfig);
var unAuthOptions = {
key: fs.readFileSync('./certs/server-key.pem'),
cert: fs.readFileSync('./certs/server-crt.pem'),
ca: fs.readFileSync('./certs/ca-crt.pem'),
requestCert: false,
rejectUnauthorized: false
};
var proxyServer = https.createServer(unAuthOptions, proxyApp);
proxyServer.listen(3000);
var fs = require('fs');
var https = require('https');
process.env.NODE_TLS_REJECT_UNAUTHORIZED = '0';
var options = {
hostname: 'localhost',
port: 3000,
path: '/auth',
method: 'GET',
key: fs.readFileSync('./certs/client1-key.pem'),
cert: fs.readFileSync('./certs/client1-crt.pem'),
ca: fs.readFileSync('./certs/ca-crt.pem')
};
var req = https.request(options, function (res) {
res.on('data', function (data) {
process.stdout.write(data);
});
});
req.end();
共有1个答案
您具体地说//Incoming request(req):Not able to see the certificate thas was by client.,所以您可能已经查看了GetPeerCertifice并发现连接已关闭。
也就是说,在OnProxyReq处理程序中,您可以尝试使用GetPeerCertifice方法(docs)将证书从Req添加到ProxyReq中。
这个SO answer+comment显示了如何获取并转换为有效的证书。
const parseReqCert = (req) => {
const { socket } = req;
const prefix = '-----BEGIN CERTIFICATE-----';
const postfix = '-----END CERTIFICATE-----';
const pemText = socket.getPeerCertificate(true).raw.toString('base64').match(/.{0,64}/g);
return [prefix, pemText, postfix].join("\n");
}
const addClientCert = (proxyReq, req) => {
proxyReq.cert = parseReqCert(req);
return proxyReq;
}
const authProxyConfig = proxy({
...
onProxyReq: (proxyReq, req, res) => {
addClientCert(proxyReq, req);
},
...
})
-
我不熟悉SSL和证书。我一直在做关于客户端证书认证的研究。我看过这个和wiki。 因此,如果我必须为我的B2B REST服务实现客户端证书身份验证解决方案,我应该执行以下操作 要求客户端生成自己的私钥,并为其公钥生成证书(CA 颁发?)。通过电子邮件或 USB 闪存盘发送该证书。 在服务器端将客户端的公共证书导入信任存储区并启用客户端身份验证 在握手期间,客户端会出示其证书并进行身份验证,因为服务
-
问题内容: 当使用node.js作为客户端时,是否可以使用Windows集成身份验证连接到服务器(例如,连接到IIS时)? 我对此的搜索仅显示将node.js用作服务器的结果。 问题答案: 2015更新: 现在有些模块实现了Windows集成的身份验证。 node- sspi 使用SSPI(Windows安全API)来处理服务器端的事务,但不执行client auth 。有几种客户端实现,例如ht
-
问题内容: 我需要导入证书,以便向Spring Boot应用程序中的外部服务发出http请求。 我该如何设置Spring Boot来做到这一点? 那里有很多信息,但我发现所有这些都令人困惑。似乎我可能只需要创建类似“ truststore.jks”密钥库的内容并导入正确的证书,然后将一些条目添加到我的application.properties中即可。 问题答案: 打开您的终端或 回答所有问题。在
-
问题内容: 我想使用带有身份验证的其余api。我正在尝试包括标头,但没有得到任何回应。它抛出的输出通常是在没有身份验证时抛出的。谁能建议我一些解决方案。下面是我的代码 问题答案: 该请求模块将使您的生活更轻松。现在,它包括“ 基本身份验证”作为选项,因此您不必自己构建标题。 安装请求执行
-
授权服务器为进行客户端身份验证的目的,为Web应用客户端创建客户端凭据。授权服务器被鼓励考虑比客户端密码更强的客户端身份验证手段。Web应用程序客户端必须确保客户端密码和其他客户端凭据的机密性。 授权不得向本地应用程序或基于用户代理的应用客户端颁发客户端密码或其他客户端凭据用于客户端验证目的。授权服务器可以颁发客户端密码或其他凭据给专门的设备上特定安装的本地应用程序客户端。 当客户端身份验证不可用
-
在向令牌端点发起请求时,机密客户端或其他被颁发客户端凭据的客户端必须如2.3节所述与授权服务器进行身份验证。客户端身份验证用于: 实施刷新令牌和授权码到它们被颁发给的客户端的绑定。当授权码在不安全通道上向重定向端点传输时,或者 当重定向URI没有被完全注册时,客户端身份验证是关键的。 通过禁用客户端或者改变其凭据从被入侵的客户端恢复,从而防止攻击者滥用被盗的刷新令牌。改变单套客户端凭据显然快于撤销