Я использую http-proxy-middleware (https://www.npmjs.com/package/http-proxy-middleware) для реализации прокси для другого REST API, в котором включена аутентификация на основе сертификатов на стороне клиента (requestCert: true, rejectUnauthorized: true).
Клиент вызывает API-интерфейс Proxy (https://localhost: 3000 / auth ), где настроено промежуточное программное обеспечение http-proxy и предполагается, что он будет перенаправлен на другой API REST (https://localhost: 3002 / auth ) с включенной аутентификацией на основе сертификата на стороне клиента (requestCert: true, rejectUnauthorized: true).
Я не хочу, чтобы какая-либо указанная c аутентификация выполнялась на прокси. Когда я вызываю прокси с путем, который будет маршрутизировать к этой целевой конечной точке с аутентификацией на основе клиентских сертификатов, произойдет сбой с сообщением об ошибке:
Ошибка, полученная на прокси-сервере:
[HPM] Rewriting path from "/auth" to ""
[HPM] GET /auth ~> https://localhost:3002/auth
RAW REQUEST from the target {
"host": "localhost:3000",
"connection": "close"
}
redirecting to auth
[HPM] Error occurred while trying to proxy request from localhost:3000 to https://localhost:3002/auth (EPROTO) (https://nodejs.org/api/errors.html#errors_common_system_errors)
Ошибка на стороне клиента:
Proxy error: Error: write EPROTO 28628:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:c:\ws\deps\openssl\openssl\ssl\record\rec_layer_s3.c:1536:SSL alert number 40
Мне не нужен прокси-сервер для проверки / действия на клиентских сертификатах, приходящих с входящим запросить любым способом (для этого я установил secure: false), а просто перенаправить его в конечную конечную точку. Мы видим, что сертификаты, полученные от клиента, не передаются / проксируются / пересылаются в конечную конечную точку, и, следовательно, аутентификация на основе сертификатов завершается неудачно в целевой конечной точке.
Клиентский запрос при отправке на конечную конечную точку напрямую работает, но НЕ при отправке через http-proxy-middleware proxy.
Мой тестовый сервер, код клиента приведен ниже для справки .
Есть ли способ настроить промежуточное ПО http-proxy таким образом, чтобы оно пересылало / передавало сертификаты на стороне клиента, полученные от клиента, к целевой конечной точке, чтобы сертификаты на стороне клиента отправлялись клиент доступен для проверки на основе сертификата на конечной конечной точке REST?
Не могли бы вы рассказать мне, как это сделать с помощью пакета http-proxy-middleware или любым другим подходящим способом? Заранее спасибо.
Код сервера
// Certificate based HTTPS Server
var authOptions = {
key: fs.readFileSync('./certs/server-key.pem'),
cert: fs.readFileSync('./certs/server-crt.pem'),
ca: fs.readFileSync('./certs/ca-crt.pem'),
requestCert: true,
rejectUnauthorized: true
};
var authApp = express();
authApp.get('/auth', function (req, res) {
res.send("data from auth");
});
var authServer = https.createServer(authOptions, authApp);
authServer.listen(3002);
// HTTP Proxy Middleware
var authProxyConfig = proxy({
target: 'https://localhost:3002/auth',
pathRewrite: {
'^/auth': '' // rewrite path
},
changeOrigin: true,
logLevel: 'debug',
secure: false,
onProxyReq: (proxyReq, req, res) => {
// Incoming request ( req ) : Not able to see the certificate that was passed by client.
// Refer the following client code for the same
},
onError: (err, req, res) => {
res.end(`Proxy error: ${err}.`);
}
});
proxyApp.use('/auth', authProxyConfig);
var unAuthOptions = {
key: fs.readFileSync('./certs/server-key.pem'),
cert: fs.readFileSync('./certs/server-crt.pem'),
ca: fs.readFileSync('./certs/ca-crt.pem'),
requestCert: false,
rejectUnauthorized: false
};
var proxyServer = https.createServer(unAuthOptions, proxyApp);
proxyServer.listen(3000);
Код клиента
var fs = require('fs');
var https = require('https');
process.env.NODE_TLS_REJECT_UNAUTHORIZED = '0';
var options = {
hostname: 'localhost',
port: 3000,
path: '/auth',
method: 'GET',
key: fs.readFileSync('./certs/client1-key.pem'),
cert: fs.readFileSync('./certs/client1-crt.pem'),
ca: fs.readFileSync('./certs/ca-crt.pem')
};
var req = https.request(options, function (res) {
res.on('data', function (data) {
process.stdout.write(data);
});
});
req.end();