2. 程式人生 > 實用技巧 >3、Template Method 模板方法 行為型設計模式

3、Template Method 模板方法 行為型設計模式

阿新 發佈:2020-07-21

一 HTTPS概述

1.1 HTTPS介紹

超文字傳輸安全協議HTTPS(Hypertext Transfer Protocol Secure)是超文字傳輸協議和SSL/TLS的組合,用以提供加密通訊及對網路伺服器身份的鑑定。 HTTPS也可以理解為HTTP over SSL,即HTTP連線建立在SSL安全連線之上。 HTTPS連線經常被用於全球資訊網上的交易支付和企業資訊系統中敏感資訊的傳輸。 注意:HTTPS與RFC 2660中定義的安全超文字傳輸協議(S-HTTP)不同。

1.2 SSL介紹

SSL(Secure Socket Layer)安全套接字層是一種數字證書,它使用ssl協議在瀏覽器和web server之間建立一條安全通道,資料資訊在client與server之間的安全傳輸。SSL使用證書來建立安全連線,通常有兩種驗證模式:
  • 僅客戶端驗證伺服器的證書,客戶端自己不提供證書;
  • 客戶端和伺服器都互相驗證對方的證書。
注意:編譯安裝的Nginx預設情況下ssl模組並未被安裝,如果要使用該模組則需要在編譯nginx時指定–with-http_ssl_module引數。

二 自簽名證書

2.1 自簽名證書

SSL需要使用TLS證書對通訊進行加密,通常可通過openssl工具生產自建證書。

2.2 openssl建立證書

  1 [root@nginx01 ~]# openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=Xianghy/OU=Web Security/CN=tls.linuxds.com"
釋義: -days 36500:證書有效期,100年; -newkey rsa:2048:同時產生一個新證書和一個新的SSL key(加密強度為RSA 2048); -keyout:SSL輸出檔名; -out:證書生成檔名; C:使用國際標準組織(ISO)國碼格式,填寫2個字母的國家代號,中國請填寫CN; ST:省份,比如填ZheJiang; L:城市,比如填寫HangZhou; O:組織單位,比如填寫公司名稱的拼音; OU:部門; CN:配置 SSL 加密的網站地址。 提示:可自建泛域名的證書,如*.linuxds.com。

三 免費證書申請

3.1 騰訊雲申請

騰訊提供免費一年的SSL證書申請,具體操作略。

3.2 其他申請

免費證書也可通過:https://freessl.cn進行申請,具體操作略。

四 配置SSL

4.1 配置語法

  1 server {
  2     listen 443 ssl;				        #SSL 訪問埠號為 443
  3     server_name www.xxx.com;			#填寫繫結證書的域名
  4     ssl_certificate tls.crt;			#證書檔案
  5     ssl_certificate_key tls.key;		        #私鑰檔案
  6     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;	        #請按照以下協議配置
  7     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;	#配置加密套件
  8     ssl_prefer_server_ciphers on;		        #依賴SSLv3和TLSv1協議的伺服器密碼將優先於客戶端密碼;
  9     ssl_session_timeout 5m;			        #會話過期時間;
 10     ssl_session_cache   shared:SSL:1m;		#儲存SSL會話的快取型別和大小;
 11 location / {
 12     root /web/www/website/dist;			#定義首頁索引檔案的名稱
 13     index index.html;
 14 }

4.2 配置示例

  1 [root@nginx01 ~]# mkdir /usr/share/nginx/tls/
  2 [root@nginx01 ~]# echo '<h1>WebTLS</h1>' > /usr/share/nginx/tls/index.html

4.3 配置虛擬主機

  1 [root@nginx01 ~]# mkdir -p /etc/nginx/tls
  2 [root@nginx01 ~]# ll /etc/nginx/tls/
  3 total 8.0K
  4 -rw-r--r-- 1 root root 3.7K Jul  5 22:07 linuxds.crt
  5 -rw-r--r-- 1 root root 1.7K Jul  5 22:07 linuxds.key
  1 [root@nginx01 ~]# vi /etc/nginx/conf.d/tls.conf
  2 server {
  3     listen 443 ssl;
  4     server_name          tls.linuxds.com;
  5     root   /usr/share/nginx/tls/;
  6     access_log  /var/log/nginx/tls.access.log  main;
  7     error_log   /var/log/nginx/tls.error.log  warn;
  8     ssl_certificate      /etc/nginx/tls/linuxds.crt;
  9     ssl_certificate_key  /etc/nginx/tls/linuxds.key;
 10     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 11     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
 12     ssl_prefer_server_ciphers on;
 13     ssl_session_timeout  5m;
 14     ssl_session_cache   shared:SSL:1m;
 15     location / {
 16         index  index.html index.htm;
 17     }
 18 }
 19 server
 20 {
 21     listen 80;
 22     server_name tls.linuxds.com;
 23     rewrite ^(.*) https://$host$1 permanent;
 24 }
提示:如上http自動調整https也可如下寫法: 
  1 server {
  2     listen 80;
  3     server_name tls.linuxds.com; 		#填寫繫結證書的域名
  4     return 301 https://$host$request_uri;	#把http的域名請求轉成https
  5 }
  1 [root@nginx01 ~]# nginx -t -c /etc/nginx/nginx.conf	#檢查配置檔案
  2 [root@nginx01 ~]# nginx -s reload			#過載配置檔案

4.4 確認驗證

瀏覽器訪問:http://tls.linuxds.com,觀察是否自動調整至https://tls.linuxds.com。 參考官網:http://nginx.org/en/docs/http/configuring_https_servers.html。

五 HTTPS其他優化

5.1 優化CPU消耗

SSL 的運算需要消耗額外的 CPU 資源,一般多核處理器系統會執行多個工作程序(worker processes ),程序的數量不會少於可用的 CPU 核數。SSL 通訊過程中【握手】階段的運算最佔用 CPU 資源,通常有兩個方法可以減少每臺客戶端的運算量:
  • 啟用 keepalive 長連線,一個連線傳送更多個請求;
  • 複用 SSL 會話引數,在並行併發的連線數中避免進行多次 SSL【握手】。
這些會話會儲存在一個 SSL 會話快取裡面,通過命令 ssl_session_cache 配置,可以使快取在機器間共享,然後利用客戶端在【握手【階段使用的 seesion id 去查詢服務端的 session cathe(如果服務端設定有的話),簡化【握手】階段。 1M 的會話快取大概包含 4000 個會話,預設的快取超時時間為 5 分鐘,可以通過使用ssl_session_timeout 命令設定快取超時時間。 示例: 
  1 server
  2 {
  3 ……
  4     ssl_session_timeout  10m;				#配置會話超時時間
  5     ssl_session_cache   shared:SSL:10m;			#配置共享會話快取大小,視站點訪問情況設定
  6     keepalive_timeout   70;				#設定長連線
  7 ……
  8 }

5.2 使用HSTS優化安全性

HSTS:HTTP Strict Transport Security,HTTP嚴格傳輸安全。它允許一個 HTTPS 網站要求瀏覽器總是通過 HTTPS 來訪問,這使得攻擊者在使用者與伺服器通訊過程中攔截、篡改資訊以及冒充身份變得更為困難。 示例: 
  1 server
  2 {
  3 ……
  4     add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
  5 ……
  6 }
釋義: max-age:設定單位時間內強制使用 HTTPS 連線; includeSubDomains:可選,所有子域同時生效; preload:可選,非規範值,用於定義使用【HSTS 預載入列表】 always:可選,保證所有響應都發送此響應頭,包括各種內建錯誤響應。 瀏覽器在獲取該響應頭後,在 max-age 的時間內,如果遇到 HTTP 連線,就會通過 307 跳轉強制使用 HTTPS 進行連線,並忽略其它的跳轉設定(如 301 重定向跳轉)

5.3 提升演算法優化安全性

HTTPS 基礎配置採取的預設加密演算法是 SHA-1,這個演算法非常脆弱,安全性逐步降低,因此建議重要的 HTTPS 配置方案應該避免 SHA-1,可以使用 迪菲-赫爾曼金鑰交換(D-H,Diffie–Hellman key exchange)方案。
  1. 生產dhparam.pem檔案
  1 [root@nginx01 ~]# cd /etc/nginx/tls
  2 [root@nginx01 tls]# openssl dhparam -out dhparam.pem 2048
  1. 配置Nginx採用的演算法
  1 [root@nginx01 tls~]# server
  2 {
  3 ……
  4     ssl_prefer_server_ciphers on;				#優先採取伺服器演算法
  5     ssl_dhparam /etc/nginx/tls/dhparam.pem;			#使用DH檔案
  6     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  7     ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";	#定義演算法
  8 ……
  9 }

5.4 其他安全優化

通常Nginx要可以配合如下安全引數來提升安全性。 
  1 {
  2 ……
  3     add_header X-Frame-Options DENY;			#減少點選劫持
  4     add_header X-Content-Type-Options nosniff;		#禁止伺服器自動解析資源型別
  5     add_header X-Xss-Protection 1;				#防止XSS攻擊
  6 ……
  7 }

5.5 優化總結示例

使用相應優化後的配置如下: 
  1 [root@nginx01 ~]# cd /etc/nginx/tls
  2 [root@nginx01 tls]# openssl dhparam -out dhparam.pem 2048
  1 [root@nginx01 tls]# vi /etc/nginx/conf.d/tls.conf
  2 server {
  3     listen 443 ssl;
  4     server_name          tls.linuxds.com;
  5     root   /usr/share/nginx/tls/;
  6     access_log  /var/log/nginx/tls.access.log  main;
  7     error_log   /var/log/nginx/tls.error.log  warn;
  8     ssl_certificate      /etc/nginx/tls/linuxds.crt;
  9     ssl_certificate_key  /etc/nginx/tls/linuxds.key;
 10     ssl_session_timeout  10m;				#配置會話超時時間
 11     ssl_session_cache    shared:SSL:10m;			#配置共享會話快取大小
 12     keepalive_timeout    70;				#配置長連線
 13     add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;								                #HSTS策略
 14     add_header X-Frame-Options DENY;			#減少點選劫持
 15     add_header X-Content-Type-Options nosniff;		#禁止伺服器自動解析資源型別
 16     add_header X-Xss-Protection 1;				#防止XSS攻擊
 17     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 18     ssl_prefer_server_ciphers on;				#優先採取伺服器演算法
 19     ssl_dhparam /etc/nginx/tls/dhparam.pem;			#使用DH檔案
 20     ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";	#定義演算法
 21     location / {
 22         index  index.html index.htm;
 23     }
 24 }
 25 server
 26 {
 27     listen 80;
 28     server_name tls.linuxds.com;
 29     rewrite ^(.*) https://$host$1 permanent;
 30 }
  1 [root@nginx01 ~]# nginx -t -c /etc/nginx/nginx.conf	#檢查配置檔案
  2 [root@nginx01 ~]# nginx -s reload			#過載配置檔案
瀏覽器訪問:http://tls.linuxds.com,觀察響應頭資訊。 參考:https://aotu.io/notes/2016/08/16/nginx-https/index.html。 https://imququ.com/post/web-security-and-response-header.html

相關推薦

3Template Method 模板方法 行為設計模式

1了解模板方法 1.1 模式定義 定義一個操作算法中的框架,而將這些步驟延遲加載到子類中。

模板方法模式Template Method Pattern)《HeadFirst設計模式》讀書筆記

  在抽象類中建立一個模板方法,這個方法可以呼叫在抽象類中定義好的其它方法,這些方法可以是抽象的,也可以是預設方法,甚至還可以是一個空的方法(叫做鉤子),可以在子類中重寫抽象方法或重寫鉤子方法,從而實

Java 基礎(多的應用:行為設計模式-模板方法設計模式TemplateMethod)

抽象類體現的就是一種模板模式設計,抽象類作為多個子類的通用模板,子類在抽象類的基礎上進行擴充套件改造,但子類總體上會保留抽象類的行為方式。

1迭代器 Iterator模式 一個一個遍歷 行為設計模式

1Iterator模式 迭代器(iterator)有時又稱遊標(cursor)是程序設計的軟件設計模式,可在容器(container,例如鏈表或者陣列)上遍訪的接口,設計人員無需關心容器的內容。

13Visitor 訪問者模式 訪問資料結構並處理資料 行為設計模式

1、模式的定義與特點 訪問者(Visitor)模式的定義:將作用於某種數據結構中的各元素的操作分離出來封裝成獨立的類,使其在不改變數據結構的前提下可以添加作用於這些元素的新的操作,為數據結構中的每個元素提供多種

行為設計模式模板模式

模板模式的原理與實現 模板方法模式:在一個方法中定義一個演算法骨架,並將某些步驟推遲到子類中實現。模板方法模式可以讓子類在不改變演算法整體結構的情況下,重新定義演算法中的某些步驟。

行為設計模式:策略模式

策略模式:定義一族演算法類,將每個演算法封裝起來,讓他們可以相互替換。策略模式可以使演算法的變化獨立於他們的使用者。

行為設計模式:職責鏈模式

職責鏈模式的原理和實現 將請求的傳送和接收解耦,讓多個接收物件都有機會處理這個請求。將這些接收物件串成一條鏈,並沿著這條鏈傳遞這個請求,直到鏈上的某個接收物件能夠處理它為止。

WPS for Linux提示“系統缺失字型symbolwingdingswingdings 2wingdings 3webding”的解決方法

進入WPS官網下載deb包: http://linux.wps.cn/ 安裝,開啟終端: cd 下載 sudo dpkg -i wps-office_10.1.0.5672~a21_amd64.deb

2介面卡 adapter 模式 加個"介面卡" 以便於複用 結構設計模式

1什麼是適配器模式? 適配器如同一個常見的變壓器,也如同電腦的變壓器和插線板之間的電源連接線,他們雖然都是3相的,但是電腦後面的插孔卻不能直接插到插線板上。

行為-備忘錄模式(Memento)

介紹 備忘錄模式是一種行為設計模式,允許在不暴露物件實現細節的情況下儲存和恢復物件之前的狀態。

行為-狀態模式(State)

介紹 狀態模式是一種行為設計模式,讓你能在一個物件的內部狀態變化時改變其行為,使其看上去就像改變了自身所屬的類一樣。

設計模式-23種設計模式-行為-命令模式

命令模式介紹 二命令模式引入 需求: UML類圖: 程式碼實現(Java): //建立命令介面

結構設計模式之-工廠方法(這個應該不算設計模式的一種)

先看程式碼: 1//工程方法 2public class Create 3{ 4static void Main() 5{ 6IBuySome buySome = new FactoryBuy().GetBuy(ClassType.ByFruits);

設計模式-23種設計模式-行為-備忘錄模式

備忘錄模式介紹 二備忘錄模式引入 需求: UML類圖: 程式碼實現(Java): public class Memento {

設計模式 -&gt; 行為 - 命令模式(Command)

命令模式(Command pattern): 將\"請求\"封閉成物件, 以便使用不同的請求,佇列或者日誌來引數化其他物件. 命令模式也支援可撤銷的操作。

14Cahin of Responsibility 責任鏈 COR設計模式

1責任鏈模式 chain of responsibility 責任鏈模式 責任鏈,顧名思義,就是用來處理相關事務責任的一條執行鏈,執行鏈上有多個節點,每個節點都有機會(條件匹配)處理請求事務,如果某個節點處理完了就可以根據實際

學習《設計模式(Java版)》——建立設計模式20200919

本來在講完設計模式的10個要素之後,應該講一講設計模式的六大原則。 但是在發現自己對於六大原則的理解不夠(基本是抄書中原話),覺得這樣沒有自己的理解,所以選擇學完所有的設計模式之後再來談談設計模式的六大原

[PHP] 抽象工廠設計模式-建立設計模式

抽象工廠:在不指定具體類的情況下建立一系列相關或從屬物件。通常,建立的類都實現相同的介面。抽象工廠的客戶端並不關心這些物件的建立方式,只是知道它們如何組合在一起。

[PHP] 原型模式-建立設計模式

通過建立一個原型物件,然後複製原型物件來避免通過標準的方式建立大量的物件產生的開銷(new Foo())。