首页
/ Workerman项目中实现WebSocket连接限制与域名访问控制

Workerman项目中实现WebSocket连接限制与域名访问控制

2025-05-20 00:46:05作者:范靓好Udolf

概述

在WebSocket服务器开发中,安全性和资源管理是两个关键考量因素。Workerman作为PHP的高性能Socket框架,提供了灵活的机制来实现连接限制和访问控制。本文将详细介绍如何在Workerman项目中实现WebSocket服务器的连接数限制和基于域名的访问控制。

连接数限制的实现

Workerman本身不直接提供限制连接数的内置功能,但我们可以通过以下方式自行实现:

  1. 全局连接计数:在Worker实例中维护一个静态变量来跟踪当前连接数
  2. 连接到达上限处理:当连接数达到阈值时拒绝新连接
  3. 连接关闭时递减计数:确保连接关闭时正确更新计数
<?php
use Workerman\Worker;
use Workerman\Connection\TcpConnection;

$worker = new Worker('websocket://0.0.0.0:8080');
$worker->count = 4; // 进程数

// 最大连接数限制
define('MAX_CONNECTIONS', 1000);
$worker->currentConnections = 0;

$worker->onConnect = function(TcpConnection $connection) use ($worker) {
    if ($worker->currentConnections >= MAX_CONNECTIONS) {
        $connection->close('服务器连接数已达上限,请稍后再试');
        return;
    }
    $worker->currentConnections++;
};

$worker->onClose = function(TcpConnection $connection) use ($worker) {
    $worker->currentConnections--;
};

Worker::runAll();

基于域名的访问控制

Workerman提供了多种方式来实现基于来源域名的访问控制:

方法一:使用onWebSocketConnect回调

在Workerman 4.1及以下版本中,可以通过onWebSocketConnect回调实现:

$worker->onConnect = function(TcpConnection $connection) {
    $connection->onWebSocketConnect = function(TcpConnection $connection, $httpBuffer) {
        // 获取来源域名
        $origin = $_SERVER['HTTP_ORIGIN'] ?? '';
        
        // 允许的域名列表
        $allowedDomains = [
            'https://example.com',
            'https://sub.example.com'
        ];
        
        if (!in_array($origin, $allowedDomains)) {
            $connection->close('未授权的访问来源');
        }
    };
};

方法二:解析HTTP头信息

对于更高版本的Workerman,可以手动解析HTTP头信息:

$worker->onMessage = function(TcpConnection $connection, $data) {
    // 首次连接时检查来源
    if (!isset($connection->authorized)) {
        $headers = parseHttpHeaders($connection->httpBuffer);
        $origin = $headers['origin'] ?? '';
        
        if (!in_array($origin, $allowedDomains)) {
            $connection->close();
            return;
        }
        $connection->authorized = true;
    }
    
    // 正常处理消息...
};

生产环境最佳实践

  1. 结合SSL/TLS加密:在生产环境中应始终使用wss协议
  2. 日志记录:记录被拒绝的连接尝试以便安全审计
  3. 动态配置:将允许的域名列表和最大连接数配置为可动态调整
  4. 多进程同步:在多进程环境下使用共享内存或外部存储同步连接计数
// 示例:使用共享内存同步连接计数
$worker->onWorkerStart = function() use ($worker) {
    $worker->shmId = shm_attach(ftok(__FILE__, 't'));
    shm_put_var($worker->shmId, 1, 0);
};

$worker->onConnect = function(TcpConnection $connection) use ($worker) {
    $count = shm_get_var($worker->shmId, 1);
    if ($count >= MAX_CONNECTIONS) {
        $connection->close();
        return;
    }
    shm_put_var($worker->shmId, 1, $count + 1);
};

总结

通过Workerman的灵活架构,开发者可以轻松实现WebSocket服务器的连接数限制和基于域名的访问控制。这些安全措施对于保护服务器资源、防止滥用和确保服务可用性至关重要。在实际部署时,建议结合多种安全措施,如身份验证、速率限制等,构建全面的安全防护体系。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
860
511
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
596
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K