本文详解 fastify 结合 @fastify/websocket 在启用 https(即 wss)时连接失败的根本原因,指出证书信任链缺失是主因,并提供本地开发与生产环境的双轨配置方案,含可运行代码、证书生成指南及关键注意事项。
本文详解 fastify 结合 @fastify/websocket 在启用 https(即 wss)时连接失败的根本原因,指出证书信任链缺失是主因,并提供本地开发与生产环境的双轨配置方案,含可运行代码、证书生成指南及关键注意事项。
在使用 @fastify/websocket 构建 WebSocket 服务时,HTTP 环境下 ws:// 连接通常能正常工作,但一旦启用 HTTPS(即切换至 wss://),客户端频繁报错如 ERR_CONNECTION_REFUSED 或 net::ERR_CERT_INVALID,而 Fastify 的 HTTPS 服务本身仍可响应普通 HTTPS 请求——这明确指向 WebSocket 协议层未正确继承或识别 TLS 上下文,而非服务未启动。
根本原因并非代码逻辑错误,而是 TLS 证书的信任状态不被客户端认可:
- 浏览器/现代客户端强制要求 WSS 使用受信证书(如 Let’s Encrypt 或企业 CA 签发);
- 自签名证书或私有 CA 证书(如 OpenSSL 手动生成)默认不被信任,导致 WebSocket 握手在 TLS 层即被中断;
- @fastify/websocket 本身不处理证书验证,它完全依赖底层 Node.js https.Server 的 TLS 配置——只要 Fastify 启动时传入了正确的 https 选项,WSS 就自动启用,无需额外注册或中间件。
✅ 正确做法:确保 Fastify 的 https 配置被完整、一致地传递,且证书对客户端可信。
以下为优化后的生产就绪配置示例(含错误防护与调试建议):
一个经过完善设计的经典网上购物系统,适用于各种服务器环境的高效网上购物系统解决方案,shopxp购物系统Html版是我们首次推出的免费购物系统源码,完整可用。我们的系统是免费的不需要购买,该系统经过全面测试完整可用,如果碰到问题,先检查一下本地的配置或到官方网站提交问题求助。 网站管理地址:http://你的网址/admin/login.asp 用户名:admin 密 码:admin 提示:如果您
const fs = require('fs');
const fastify = require('fastify');
const websocketPlugin = require('@fastify/websocket');
const cors = require('@fastify/cors');
const config = {
https: process.env.HTTPS === '1',
privKey: process.env.PRIV_KEY,
certKey: process.env.CERT_KEY,
domains: process.env.DOMAINS?.split(',') || ['http://localhost:3000'],
port: parseInt(process.env.PORT) || 3000,
};
// ✅ 关键:统一构建 Fastify 实例,避免条件式 require 导致模块缓存/初始化差异
const app = fastify({
serverTimeout: 60 * 60 * 1000,
logger: true,
// 若启用 HTTPS,必须在此处注入 https 配置
...(config.https && {
https: {
key: fs.readFileSync(config.privKey),
cert: fs.readFileSync(config.certKey),
// 生产环境建议添加 ca(如使用中间证书)
// ca: fs.readFileSync('fullchain.pem'),
}
})
});
// ✅ CORS 需显式允许 WSS 协议来源(Origin 可为 ws:// 或 wss://,但浏览器发送的 Origin 是页面协议)
await app.register(cors, {
origin: config.domains,
credentials: true
});
// ✅ WebSocket 插件注册必须在 HTTPS 配置之后,且无需额外参数
await app.register(websocketPlugin);
// ✅ WebSocket 路由定义(注意:路径需与前端 new WebSocket('wss://.../live') 严格一致)
app.get('/live', { websocket: true }, (connection, req) => {
console.log(`New WebSocket connection from ${req.socket.remoteAddress}`);
connection.socket.on('message', (data) => {
try {
const msg = data.toString();
console.log('Received:', msg);
connection.socket.send(`Echo: ${msg}`);
} catch (err) {
console.error('Send error:', err);
}
});
connection.socket.on('close', () => {
console.log('Client disconnected');
});
});
// ✅ listen() 必须匹配协议:HTTPS 服务需监听 HTTPS 端口(通常 443),且 host 不应为 '0.0.0.0' 在容器外暴露时需谨慎
const start = async () => {
try {
const address = await app.listen({
host: '0.0.0.0',
port: config.port,
// ⚠️ 重要:HTTPS 下,listen() 不会自动降级;若端口非 443,请确保反向代理(Nginx/Caddy)已将 443 → 本机端口转发
listenTextResolver: (addr) => `Server listening at ${addr}`
});
app.log.info(`Server running on ${address}`);
} catch (err) {
app.log.error(err);
process.exit(1);
}
};
start();? 本地开发推荐方案:使用 mkcert 生成本地可信证书
mkcert 创建的证书会被系统/浏览器自动信任,完美解决 WSS 证书警告问题:
# 安装 mkcert(macOS 示例) brew install mkcert nss # 初始化本地 CA mkcert -install # 为 localhost 生成证书(适用于 wss://localhost:3000/live) mkcert -key-file key.pem -cert-file cert.pem localhost 127.0.0.1 ::1
然后设置环境变量:
export HTTPS=1 export PRIV_KEY=./key.pem export CERT_KEY=./cert.pem export PORT=3000 export DOMAINS="http://localhost:3000" node server.js
? 关键注意事项总结:
- ❌ 不要混合使用 HTTP 和 HTTPS 的 Fastify 实例;始终用同一实例承载所有协议;
- ❌ 不要在 fastify.register() 中动态判断是否加载 @fastify/websocket——插件注册时机不影响 TLS 继承,但逻辑混乱易引入 bug;
- ✅ 前端连接 URL 必须与后端协议严格匹配:https:// 页面只能连接 wss://,http:// 页面只能连 ws://(混合协议被浏览器阻止);
- ✅ 生产环境务必使用 Let’s Encrypt(推荐通过 Caddy/Nginx 自动签发),避免手动管理证书过期;
- ✅ 启用 app.log.level = 'trace' 可捕获 WebSocket 升级请求细节(如 onRequest 日志中查看 Upgrade: websocket 头是否存在)。
通过以上配置,Fastify 的 WSS 支持将稳定可靠,彻底规避“HTTPS 正常但 WSS 失败”的典型陷阱。
