wmproxy

wmproxy
已用
Rust
实现
http/https
代理,
socks5
代理, 反向代理, 负载均衡, 静态文件服务器，
websocket
代理，四层TCP/UDP转发，内网穿透等，会将实现过程分享出来，感兴趣的可以一起造个轮子

项目地址

国内: https://gitee.com/tickbh/wmproxy

github: https://github.com/tickbh/wmproxy

设计目标

证书的自动续期，让系统免除证书过期的烦恼，保证系统的正确运行。

关于证书的验证

证书的组成部分：公钥，私钥

公钥部分

公开的信息cert，也称公钥，在nginx体系中通常以
.pem
结尾

Cert，作为“Certificate”（证书）的缩写，通常用于表示网络安全和加密领域中的数字证书。这些证书是用于证明身份和保障安全性的重要工具，包含了许多关键信息。

一般来说，证书中存放的信息主要包括：

1. 证书颁发机构（Certificate Authority，CA）的信息：这包括CA的名称、公钥和证书颁发者的数字签名等。这些信息用于验证证书的合法性和真实性。
2. 证书持有者的信息：这通常包括组织或个人的名称、域名、公钥和证书持有者的数字签名等。这些信息用于标识证书的所有者和验证其身份。
3. 证书的有效期：证书通常有一个有效期限，包括开始日期和结束日期。这用于确定证书是否仍在有效期内。

此外，证书中还可能包含其他信息，例如证书的序列号、扩展字段等。这些信息对于特定的应用场景可能具有重要意义。

总之，Cert中存放的信息是数字证书的重要组成部分，对于保障网络安全和身份认证具有重要意义。

私钥部分

服务器专用的信息，称为私钥，在nginx体系中通常以
.key
结尾

私钥的主要作用是在TLS加密通信过程中，对从服务器发送到客户端的数据进行加密，以确保数据的机密性和安全性。当客户端向服务器发送请求时，服务器会使用其私钥对响应数据进行加密，然后发送给客户端。客户端在接收到加密数据后，会使用服务器公钥进行解密，从而获取到原始数据。

由于私钥的非公开性，如果私钥被泄露，将会对TLS加密通信的安全性造成严重威胁。因此，私钥的生成、存储和使用都需要遵循严格的安全标准和最佳实践。通常，私钥应该在安全的环境中生成，并且只由授权的人员管理和使用。

在TLS证书的生命周期中，私钥的管理和使用也是非常重要的。一旦私钥丢失或泄露，就需要重新生成新的密钥对和证书，以确保加密通信的安全性。因此，对于TLS证书的私钥部分，必须采取严格的安全措施，以确保其机密性和安全性。

证书无效的可能

SSL证书可能会因为多种原因而无效。以下是一些常见的情况：

1. 证书过期
   ：SSL证书有有效期限，一旦过期，浏览器会拒绝连接并显示证书无效的警告。为了避免这种情况，管理员需要定期检查证书的到期日期，并在必要时进行更新或续订。
2. 域名不匹配
   ：SSL证书是针对特定的域名颁发的，如果证书中的域名与实际访问的域名不匹配，浏览器也会显示证书无效。这可能是因为证书是为另一个域名颁发的，或者证书中包含的域名拼写错误。
3. 证书链不完整
   ：SSL证书通常依赖于一个证书颁发机构（CA）的证书链。如果证书链中的任何证书丢失或损坏，浏览器可能无法验证证书的有效性，并显示证书无效。
4. 浏览器不受信任
   ：如果证书颁发机构（CA）的证书被浏览器标记为不受信任或被撤销，那么使用该CA颁发的SSL证书也将被视为无效。

此篇中主要介绍证书过期如何维护的可能。

获取过期时间

关于tls的处理库，这里选择的是
rustls
，查询其相关Api及源码，发现其并未提供Cert的过期时间。这里选择用第三方库
x509-certificate
来获取证书的过期时间，他并不依赖于openssl，可以在不加载openssl的情况下获取到证书的过期时间。

api相关函数：

pub fn validity_not_after(&self) -> DateTime<Utc>

// Obtain the certificate validity “not after” time.

设计要点

1. 区分是否为acme的证书（只有acme证书才能自动获取）
2. 读取证书的时候获取过期时间
3. 在接受证书时判断是否过期
   
   1. 未过期，直接继续执行
   2. 将过期或者已过期未加载，请求新的证书
   3. 已有新的证书，进行加载
   4. 保证不会频繁加载
4. 用有效的证书进行tls操作

源码相关设计

新设计类

/// 包装tls accepter, 用于适应acme及自有证书两种
#[derive(Clone)]
pub struct WrapTlsAccepter {
    /// 最后请求的时间
    pub last: Instant,
    /// 最后成功加载证书的时间
    pub last_success: Instant,
    /// 域名
    pub domain: Option<String>,
    pub accepter: Option<TlsAcceptor>,
    /// 证书的过期时间,将加载证书的时候同步读取
    pub expired: Option<DateTime<Utc>>,
    pub is_acme: bool,
}

添加最后成功加载的时间，与全局的加载成功时间做比对。

lazy_static! {
    // 成功加载时间记录,以方便将过期的数据做更新
    static ref SUCCESS_CERT: Mutex<HashMap<String, Instant>> = Mutex::new(HashMap::new());
}

判断是否即将到期，到期前一天将自动更新

fn is_tls_will_expired(&self) -> bool {
    if let Some(expire) = &self.expired {
        let now = Utc::now();
        if now.timestamp() > expire.timestamp() - 86400 {
            return true;
        }
    }
    false
}

将过期时将重新触发加载：

if self.is_acme && self.is_tls_will_expired() {
    let _ = self.check_and_request_cert();
}

#[cfg(feature = "acme-lib")]
fn check_and_request_cert(&self)  -> Result<(), Error> {
    if self.domain.is_none() {
        return Err(io::Error::new(io::ErrorKind::Other, "未知域名").into());
    }
    {
        let mut map = CACHE_REQUEST
            .lock()
            .map_err(|_| io::Error::new(io::ErrorKind::Other, "Fail get Lock"))?;
        if let Some(last) = map.get(self.domain.as_ref().unwrap()) {
            if last.elapsed() < self.get_delay_time() {
                return Err(io::Error::new(io::ErrorKind::Other, "等待上次请求结束").into());
            }
        }
        map.insert(self.domain.clone().unwrap(), Instant::now());
    };

    let obj = self.clone();
    std::thread::spawn(move || {
        let _ = obj.request_cert();
    });
    Ok(())
}

最后在加载成功后，下一轮的处理中将尝试的加载ssl证书

pub fn update_last(&mut self) {
    if self.accepter.is_none() {
        if self.last.elapsed() > Duration::from_secs(5) {
            self.try_load_cert();
            self.last = Instant::now();
        }
    } else {
        if self.domain.is_none() {
            return;
        }
        let map = SUCCESS_CERT.lock().unwrap();
        let doamin = &self.domain.clone().unwrap();
        if !map.contains_key(doamin) {
            return;
        }
        if self.last_success < map[doamin] && self.last < map[doamin] {
            self.try_load_cert();
            self.last = map[doamin];
        }
    }
}

如此一个拥有自动请求且自动更新的acme请求已完成。
如果有细心的已发现相关代码用了feature，基本上等于Cpp中的
#ifdef xxx
也是用来控制代码是否启用相关的。

关于条件编译 Features

Cargo Feature 是非常强大的机制，可以为大家提供条件编译和可选依赖的高级特性。

相关链接可以参考
features

将其中的依赖改成了

acme-lib = { version = "^0.9.1", default-features = true, optional = true}
openssl = { version = "0.10.32", default-features = false, features = ["vendored"], optional = true }

因为
acme-lib
依赖于openssl库，在编译方面可能会相对比较麻烦，需要额外的依赖，此处openssl配置是覆盖acme-lib中的默认features，达到可以不依赖外部openssl库的能力，使用源码编译，所以如果要启用acme-lib能力可以使用

cargo build --features "acme-lib"
如果openssl不好依赖可以使用来编译系统
cargo build --features "acme-lib openssl"

总结

现在免费证书只能申请三个月（之前还能申请十二个月），拥有acme能力对于小的站点来说就比较需要，可以比较好的部署也不用关心TLS带来的烦恼。

点击
[关注]
，
[在看]
，
[点赞]
是对作者最大的支持

在硬件性能不断提升的现在，软件性能依旧是开发人员关注的重点。不同类型的程序关注的具体性能指标有所不同，服务器程序注重吞吐量，游戏引擎追求渲染效率，桌面程序则关注内存消耗以及界面加载效率和流畅性。当我们需要进行性能优化时，首先需要找到性能瓶颈。本文将介绍两个WPF性能优化分析工具：
内存使用率
和
应用程序时间线
的使用。

内存使用率

内存使用率是Visual Studio中集成的诊断工具之一，适用于.Net程序查找内存泄漏或者低效内存适用情况。

默认情况下，调试程序时诊断工具窗口会自动开启停靠在右侧或者底部。如果因为个人适用习惯关闭了诊断工具窗口，可以通过顶部菜单栏找到“调试”—>“窗口”—>“显示诊断窗口”或者快捷键
Ctrl+Alt+F2
打开诊断工具窗口。

诊断工具窗口可以查看程序运行过程CPU和内存消耗的变化，鼠标悬浮在进程内存消耗图上时，会显示任意时间点的内存消耗。

要查看内存使用情况时，可以在诊断工具窗口的内存使用情况选项卡点击“截取快照”按钮。通常我们会在内存显著增加前后各截取一次内存快照，然后对比两次快照中对象和堆大小的差异。

上图中显示了两次截图快照的时间、对象个数和堆中的字节数。其中第二条快照信息中对象个数和堆大小中括号内的数值是相对于第一条快照中的变化。对象个数和堆大小这两列中的数值是以超链接形式显示，点击后可以打开选定快照的堆视图。显示了快照捕获的完整的对象集，包括了各类型对象的个数，对象实例大小和非独占大小。点击表头可以对选定列进行排序。

并且可以通过堆视图左上角类型筛选器快速查找指定类型的内存信息。下图中显示内存中增加了1800个Student对象实例，占用大约158KB内存。

应用程序时间线

应用程序时间线工具集成在Visual Studio中的性能探测器中，用于查找XAML应用程序交互相关的性能问题。该工具提供了详细的视图显示XAML应用程序（目前不支持Avalonia）资源使用情况，可以查看UI线程使用率，可视化吞吐量，UI元素解析、布局及呈现、网络及磁盘I/O所耗费的时间。

使用应用程序时间线工具时，只需单击“调试”—>“性能探测器”或者使用快捷键
Alt+F2
，在“XXX.diagsession 窗口”中看到分析工具。勾选应用程序时间线后点击“开始”按钮进行性能数据收集。需要停止分析时，点击分析窗口左上角的“停止收集”按钮，等待一会儿就会生成详细的视图。在诊断会话窗口的分析工具列表中有个“内存使用率”，勾选后也可以分析内存使用情况（上一小节已详细介绍）。

UI线程使用率

UI线程使用率以柱状图的形式呈现每个时间点UI线程使用情况，并用不同色块区分ui元素解析、布局、呈现、I/O、应用程序代码、Xaml其他使用UI线程的占比。UI线程使用率过高的时间点可能表示应用程序响应能力较差，是性能优化需要关注的地方。

可视吞吐量(FPS)

“可视吞吐量(FPS)” 折线图显示了应用程序的 UI线程和复合线程上的每秒帧数 (FPS)，较低的帧速率也意味着应用程序响应能力较差。

时间线详细信息

时间线详细信息视图呈现了每个时间点占用CPU的UI框架子系统和系统组件以及它们占用时间。
主要包括以下几类：

• 解析：分析XAML文件并创建对象或者元素所消耗的时间。
• 布局：计算所有需要布局的元素的大小和位置耗用的时间（即在
  Arrange
  、
  Measure
  、
  ApplyTemplate
  、
  ArrangeOverride
  和
  MeasureOverride
  中所用的时间）。在大型应用程序中，可能会同时在屏幕上显示数千个元素。此显示可能会导致UI帧速率降低以及应用程序响应能力相应地变差。
• 呈现：在屏幕上绘制XAML元素所耗用的时间。
• I/O：从本地磁盘或从通过Microsoft Windows Internet (WinINet) API访问的网络资源中检索数据所耗用的时间。
• 应用程序代码：执行与分析或布局无关的应用程序（用户）代码所耗用的时间。
• Xaml其他：执行 XAML 运行时代码所耗用的时间。

时间线详细信息视图分为左中右三列。左侧显示事件名称，绝大部分事件是发生在UI线程上，这些事件名称前有一个紫色线条标记，非UI线程上的事件则无标记。中间一列顶部显示时间轴，下边显示每个事件的色块标记（与UI线程使用率中色块颜色一致）、持续总计时间（自身和子元素持续时间的总和）和自身持续时间，鼠标悬浮在元素上会显示自身持续时间和事件开始时间。右侧一列则显示选中事件的详细信息描述。

上边示例中，UI线程使用率过高，耗时最长的是布局，开始于6.91秒，总耗时6.56秒，涉及33237个元素，其原因就是TreeView没有开启虚拟化，一次性把所有的数据都渲染出来，导致UI响应差。通过这个分析找到性能瓶颈，就可以有的放矢进行优化。这里只需开启虚拟化即可，现实开发中导致性能瓶颈的原因多种多样，需结合实际情况优化解决。

小结

内存使用率
和
应用程序时间线
是WPF开发过程中不可或缺的两个有效工具，此外，Snoop以及Visual Studio中的实时可视化树、实时属性资源管理器、XAML实时预览、XAML绑定失败、辅助功能检查等工具也能提高开发调试效率。

参考

https://devblogs.microsoft.com/visualstudio/analyze-cpu-memory-while-debugging/
https://learn.microsoft.com/zh-cn/visualstudio/profiling/application-timeline?view=vs-2022