在App Engine灵活环境自定义运行时强制SSL

Question

我们正在使用基于openjdk：8的Dockerfile在App Engine灵活自定义运行时上运行Metabase实例。目前，它允许http://[metabase-project].appspot.com/和https://[metabase-project].appspot.com/访问。我想通过将所有http流量重定向到https来强制使用SSL。

Dockerfile看起来像这样：

FROM openjdk:8
ADD https://dl.google.com/cloudsql/cloud_sql_proxy.linux.amd64 ./cloud_sql_proxy
ADD http://downloads.metabase.com/v0.21.1/metabase.jar ./metabase.jar
CMD ./cloud_sql_proxy -instances=$INSTANCE=tcp:$MB_DB_PORT -dir=/cloudsql & java -jar ./metabase.jar

我们的app.yaml看起来像：

service: metabase
runtime: custom
env: flex

在普通的App Engine app.yaml文件中，我想添加：

handlers:
- url: [something]
  secure: always

但是在自定义运行时，我们无权访问这样的处理程序。有没有办法配置Flexible运行时以执行所有流量的重定向？

Answer 1

App Engine Flex根本不支持处理程序： https://cloud.google.com/appengine/docs/flexible/java/upgrading#appyaml_changes

如果您需要https：//重定向，则需要在应用程序中执行此操作。遗憾！

Answer 2

由于您的app（app.yaml中的env: flex）正在nginx反向代理后面运行，后者终止了SSL连接，因此您需要检查X-FORWARDED-PROTO标题，该标题将是http或https。如果是http，那么您可以进行重定向。

Answer 3

这对我有用。在我的案例中，使用在Cloud Sites App Engine灵活环境中运行的基于Loopback的NodeJS应用程序。

1. 使用以下代码创建中间件，例如server/middleware/https-redirect.js：

   /**
   * Create a middleware to redirect http requests to https
   * @param {Object} options Options
   * @returns {Function} The express middleware handler
   */
   module.exports = function(options) {
     options = options || {};
     var httpsPort = options.httpsPort || 443;
     return function(req, res, next) {
       if (req.protocol != 'https' && process.env.NODE_ENV !== 'development') {
         var parts = req.get('host').split(':');
         var host = parts[0] || '127.0.0.1';
         return res.redirect('https://' + host + ':' + httpsPort + req.url);
       }
       next();
     };
   };
   

   （基于帖子http://www.jonxie.com/blog/2014/11/12/setting-up-loopback-to-use-https-and-ssl-certificates/中的第8步，但已修改为使用req.protocol而不是req.secure，如果未在开发模式下运行，也只会重定向）

2. 修改文件server/server.js以请求：

   var httpsRedirect = require('./middleware/https-redirect');
   

3. 然后，在引导线之后：

   var httpsPort = app.get('https-port');
   app.use(httpsRedirect({httpsPort: httpsPort}));
   app.set('trust proxy', true)
   

设置app.set('trust proxy', true)会让req.protocol读取X-Forwarded-Proto标题。

参考文献：

• http://expressjs.com/es/api.html#req.protocol
• http://expressjs.com/en/guide/behind-proxies.html
• http://www.jonxie.com/blog/2014/11/12/setting-up-loopback-to-use-https-and-ssl-certificates/

Answer 4

迟来的回答，但是我必须为此付出很多努力。

我点击了各种链接，其中提到了以下代码，

app.use(function(req, res, next) {
  if(!req.secure) {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

这可能适用于其他云供应商。

但是在@zengabor正确提到的GCP中，我们的应用将在nginx反向代理后面运行，该代理终止SSL连接，我们需要检查X-FORWARDED-PROTO，可以通过以下代码完成，

app.use(function(req, res, next) {
  if(req.headers['x-forwarded-proto'] && req.headers['x-forwarded-proto'] === "http") {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

只需添加我的答案，就像在阅读@zengabor的代码之后，我不得不再次搜索如何实现它。因此，上面是可以使用的现成代码。

Answer 5

使用以下代码

app.use (function (req, res, next) {
  var schema = (req.headers['x-forwarded-proto'] || '').toLowerCase();
  if (schema === 'https') {
    next();
  } else {
    res.redirect('https://' + req.headers.host + req.url);
  }
});

Answer 6

这是我使用的Node.js Express代码：

// set the env variable REQUIRE_HTTPS=1 to enable this middleware

.use(function(req, res, next) {
    // Redirect HTTP to HTTPS
    if (!process.env.REQUIRE_HTTPS) return next();
    if (req.headers["x-forwarded-proto"] === "https") return next();
    if (req.protocol === "https") return next();
    res.redirect(301, `https://${req.hostname}${req.url}`);
})

将其作为Express应用程序中的第一个中间件。

此代码假定您使用的是http / https的标准端口，就像在AppEngine上一样。