在swoole websocket服务器中验证用户身份需在握手阶段或连接后立即进行,首选onhandshake回调解析url中的token并校验,失败则拒绝连接;若使用复杂认证机制,可允许连接后通过onmessage接收认证消息完成验证,成功后将fd与用户id绑定至swoole\table或redis以管理会话状态,确保未认证连接不被信任。
在Swoole的WebSocket服务器中验证用户身份,通常是在客户端刚连接时(即握手阶段)完成。由于WebSocket是长连接,无法像HTTP那样每次请求都携带Cookie或Header,因此需要在连接建立初期完成身份校验。
1. 利用WebSocket握手阶段验证
当客户端发起WebSocket连接时,会先进行HTTP握手。Swoole允许你在onHandshake回调中处理这个过程,可以读取请求头、GET参数等信息来验证身份。
常见做法:
- 客户端在URL中附加token:
ws://your-server:9501?token=abc123 - 服务端在onHandshake中解析token并验证
- 验证失败则拒绝连接,成功则允许升级为WebSocket连接
$server = new Swoole\WebSocket\Server("0.0.0.0", 9501);
$server->on('handshake', function($request, $response) {
// 解析GET参数
parse_str($request->server['query_string'], $get);
if (!isset($get['token']) || !validateToken($get['token'])) {
$response->end();
return false;
}
// 手动发送WebSocket升级头
$key = base64_encode(sha1($request->header['sec-websocket-key'] . '258EAFA5-E914-47DA-95CA-C5AB0DC85B11', true));
$headers = [
'Upgrade' => 'websocket',
'Connection' => 'Upgrade',
'Sec-WebSocket-Accept' => $key,
'Sec-WebSocket-Version' => '13',
];
$response->header('Content-Type', 'text/plain');
$response->header('Connection', 'Upgrade');
$response->header('Upgrade', 'websocket');
$response->header('Sec-WebSocket-Accept', $key);
$response->status(101);
$response->end();
});
function validateToken($token) {
// 这里实现你的token验证逻辑,如查Redis或JWT解码
return $token === 'abc123'; // 示例
}
2. 使用onOpen后立即发送认证消息
另一种方式是允许连接建立,但在onOpen后要求客户端立即发送一条认证消息(比如类型为"auth"的数据帧),服务端收到后再进行校验。
适合场景:
- 使用更复杂的身份机制(如签名、加密数据)
- 不想把token暴露在URL中
$server->on('open', function($server, $req) {
echo "连接已建立,等待认证...\n";
});
$server->on('message', function($server, $frame) {
$data = json_decode($frame->data, true);
if ($data['type'] === 'auth') {
if (validateToken($data['token'])) {
// 记录fd与用户关系
$_SESSION[$frame->fd] = ['user_id' => getUserId($data['token'])];
$server->push($frame->fd, json_encode(['type' => 'auth_success']));
} else {
$server->push($frame->fd, json_encode(['type' => 'auth_fail']));
$server->disconnect($frame->fd);
}
}
});
3. 验证后的用户状态管理
身份验证通过后,建议将fd(连接句柄)与用户ID绑定,便于后续识别消息来源和定向推送。
常用方法:
- 使用PHP数组或Swoole\Table存储fd → user_id映射
- 结合Redis维护在线用户状态
- 注意:worker进程隔离,共享数据需用Table或Redis
基本上就这些。关键是选择合适的验证时机:如果简单用token,推荐在onHandshake阶段拦截;如果需要更安全或复杂交互,可在连接后通过消息认证。核心原则是——未认证的连接不应被当作可信用户处理。
