libwebsockets中SSL大容量数据传输问题的分析与修复

2025-06-10 12:11:59作者：贡沫苏Truman

问题背景

在使用libwebsockets进行WebSocket通信时，开发者发现当尝试连续发送大量数据时，系统会出现阻塞现象。具体表现为POLLOUT事件不再触发，导致数据传输中断。经过深入调试，发现问题根源在于SSL层读取操作(mbedtls_ssl_read)的错误处理机制存在缺陷。

问题分析

错误现象链

初始表现：当持续发送大量数据时，WebSocket连接突然停止响应
调试发现：问题总是出现在SSL_read操作失败后
错误日志显示：
- mbedtls_ssl_read返回错误码-0x6900(表示WANT_READ)
- 但上层却错误地判断为WANT_WRITE
- 导致后续POLLOUT事件被错误禁用

根本原因

问题出在ssl_pm_read函数的错误处理逻辑不完善。当mbedtls_ssl_read返回错误时，函数没有正确设置ssl->err字段，导致上层SSL_get_error无法获取准确的错误类型。具体表现为：

mbedtls_ssl_read返回MBEDTLS_ERR_SSL_WANT_READ(-0x6900)
但ssl_pm_read没有设置对应的SSL_ERROR_WANT_READ错误码
上层只能依赖SSL_want_write判断，而该函数检查的是最后一次SSL操作的阻塞方向
如果最后一次阻塞操作是发送，就会错误返回WANT_WRITE

解决方案

修复方案

通过在ssl_pm_read函数中添加完整的错误码转换逻辑，确保mbedtls错误码能正确映射为OpenSSL风格的错误码：

int ssl_pm_read(SSL *ssl, void *buffer, int len)
{
    int ret;
    struct ssl_pm *ssl_pm = (struct ssl_pm *)ssl->ssl_pm;

    ret = mbedtls_ssl_read(&ssl_pm->ssl, buffer, (size_t)len);
    if (ret < 0) {
        if (ret == MBEDTLS_ERR_NET_CONN_RESET ||
            ret <= MBEDTLS_ERR_SSL_NO_USABLE_CIPHERSUITE) {
            ssl->err = SSL_ERROR_SYSCALL;
        }
        switch (ret) {
        case MBEDTLS_ERR_NET_CONN_RESET:
            ssl->err = SSL_ERROR_SYSCALL;
            break;
        case MBEDTLS_ERR_SSL_WANT_WRITE:
            ssl->err = SSL_ERROR_WANT_WRITE;
            break;
        case MBEDTLS_ERR_SSL_WANT_READ:
            ssl->err = SSL_ERROR_WANT_READ;
            break;
        default:
            break;
        }
        ret = -1;
    }
    return ret;
}