SST项目中实现HTTP到HTTPS自动重定向的最佳实践

在现代Web应用开发中，确保所有流量都通过安全的HTTPS协议传输是一项基本要求。本文将详细介绍如何在SST（Serverless Stack）项目中配置负载均衡器，实现从HTTP到HTTPS的自动重定向。

背景与需求

当使用SST框架部署Next.js应用到AWS Fargate时，默认会创建一个负载均衡器来处理流量。常见的配置是同时监听80端口(HTTP)和443端口(HTTPS)，但需要确保所有HTTP请求都被重定向到HTTPS，以保障数据传输的安全性。

解决方案演进

初始方案

早期开发者需要手动创建监听器来实现重定向：

import * as aws from "@pulumi/aws";

const listener = new aws.lb.Listener("http-listener", {
  loadBalancerArn: loadBalancer.arn,
  port: 80,
  protocol: "HTTP",
  defaultActions: [{
    type: "redirect",
    redirect: {
      port: "443",
      protocol: "HTTPS",
      statusCode: "HTTP_301",
    },
  }],
});

这种方法虽然有效，但需要额外引入@Pulumi/aws包，并手动管理监听器配置。

SST原生支持

从SST v3.3.23版本开始，框架原生支持了更简洁的配置方式：

ports: [
  { listen: "80/http", redirect: "443/https" },
  { listen: "443/https", forward: "80/http" }
]

这种声明式配置更加直观，无需额外依赖，且完全集成在SST的部署流程中。

实现原理

1. HTTP监听器(80端口)：配置为301永久重定向到HTTPS
2. HTTPS监听器(443端口)：将流量转发到应用容器
3. SSL证书：当使用自定义域名时，SST会自动从ACM获取SSL证书

最佳实践建议

1. 始终使用HTTPS：确保所有流量最终都通过加密通道传输
2. 301重定向：使用永久重定向有利于SEO和浏览器缓存
3. 自定义域名：建议总是配置自定义域名，SST会处理证书的自动申请和续期
4. 版本检查：确保使用SST v3.3.23或更高版本以获得最佳支持

常见问题排查

如果发现HTTP请求没有被正确重定向：

1. 检查SST版本是否≥3.3.23
2. 验证负载均衡器监听器配置
3. 确认自定义域名已正确设置
4. 检查安全组规则是否允许80和443端口的流量

通过以上配置，开发者可以轻松实现全站HTTPS，提升应用的安全性和用户体验。SST框架的持续演进使得这类基础设施配置变得更加简单和高效。