Workerman项目中实现WebSocket连接限制与域名访问控制

概述

在WebSocket服务器开发中，安全性和资源管理是两个关键考量因素。Workerman作为PHP的高性能Socket框架，提供了灵活的机制来实现连接限制和访问控制。本文将详细介绍如何在Workerman项目中实现WebSocket服务器的连接数限制和基于域名的访问控制。

连接数限制的实现

Workerman本身不直接提供限制连接数的内置功能，但我们可以通过以下方式自行实现：

1. 全局连接计数：在Worker实例中维护一个静态变量来跟踪当前连接数
2. 连接到达上限处理：当连接数达到阈值时拒绝新连接
3. 连接关闭时递减计数：确保连接关闭时正确更新计数

<?php
use Workerman\Worker;
use Workerman\Connection\TcpConnection;

$worker = new Worker('websocket://0.0.0.0:8080');
$worker->count = 4; // 进程数

// 最大连接数限制
define('MAX_CONNECTIONS', 1000);
$worker->currentConnections = 0;

$worker->onConnect = function(TcpConnection $connection) use ($worker) {
    if ($worker->currentConnections >= MAX_CONNECTIONS) {
        $connection->close('服务器连接数已达上限，请稍后再试');
        return;
    }
    $worker->currentConnections++;
};

$worker->onClose = function(TcpConnection $connection) use ($worker) {
    $worker->currentConnections--;
};

Worker::runAll();

基于域名的访问控制

Workerman提供了多种方式来实现基于来源域名的访问控制：

方法一：使用onWebSocketConnect回调

在Workerman 4.1及以下版本中，可以通过onWebSocketConnect回调实现：

$worker->onConnect = function(TcpConnection $connection) {
    $connection->onWebSocketConnect = function(TcpConnection $connection, $httpBuffer) {
        // 获取来源域名
        $origin = $_SERVER['HTTP_ORIGIN'] ?? '';
        
        // 允许的域名列表
        $allowedDomains = [
            'https://example.com',
            'https://sub.example.com'
        ];
        
        if (!in_array($origin, $allowedDomains)) {
            $connection->close('未授权的访问来源');
        }
    };
};

方法二：解析HTTP头信息

对于更高版本的Workerman，可以手动解析HTTP头信息：

$worker->onMessage = function(TcpConnection $connection, $data) {
    // 首次连接时检查来源
    if (!isset($connection->authorized)) {
        $headers = parseHttpHeaders($connection->httpBuffer);
        $origin = $headers['origin'] ?? '';
        
        if (!in_array($origin, $allowedDomains)) {
            $connection->close();
            return;
        }
        $connection->authorized = true;
    }
    
    // 正常处理消息...
};

生产环境最佳实践

1. 结合SSL/TLS加密：在生产环境中应始终使用wss协议
2. 日志记录：记录被拒绝的连接尝试以便安全审计
3. 动态配置：将允许的域名列表和最大连接数配置为可动态调整
4. 多进程同步：在多进程环境下使用共享内存或外部存储同步连接计数

// 示例：使用共享内存同步连接计数
$worker->onWorkerStart = function() use ($worker) {
    $worker->shmId = shm_attach(ftok(__FILE__, 't'));
    shm_put_var($worker->shmId, 1, 0);
};

$worker->onConnect = function(TcpConnection $connection) use ($worker) {
    $count = shm_get_var($worker->shmId, 1);
    if ($count >= MAX_CONNECTIONS) {
        $connection->close();
        return;
    }
    shm_put_var($worker->shmId, 1, $count + 1);
};

总结

通过Workerman的灵活架构，开发者可以轻松实现WebSocket服务器的连接数限制和基于域名的访问控制。这些安全措施对于保护服务器资源、防止滥用和确保服务可用性至关重要。在实际部署时，建议结合多种安全措施，如身份验证、速率限制等，构建全面的安全防护体系。