WebSocket_协议 缺乏、安全感 2022-05-25 12:19 166阅读 0赞 一、WebSocket 协议 WebSocket 协议本质上是一个基于 TCP 的协议。为了建立一个 WebSocket 连接,客户端浏览器首先要向服务器发起一个 HTTP 请求,这个请求和通常的 HTTP 请求不同,包含了一些附加头信息,其中附加头信息”Upgrade: WebSocket”表明这是一个申请协议升级的 HTTP 请求,服务器端解析这些附加的头信息然后产生应答信息返回给客户端,客户端和服务器端的 WebSocket 连接就建立起来了,双方就可以通过这个连接通道自由的传递信息,并且这个连接会持续存在,直到客户端或者服务器端的某一方主动的关闭连接。 1. 客户端发到服务器的内容: GET /chat HTTP/1.1 Host: server.example.com Upgrade: websocket Connection: Upgrade Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw== Sec-WebSocket-Protocol: chat, superchat Sec-WebSocket-Version: 13 Origin: http://example.com 这段类似HTTP协议的握手请求中,多了几个东西。 Upgrade: websocket Connection: Upgrade 这个就是Websocket的核心了,告诉 Apache 、 Nginx 等服务器:注意啦,我发起的是Websocket协议,快点帮我找到对应的助理处理~不是那个老土的HTTP。 Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw== Sec-WebSocket-Protocol: chat, superchat Sec-WebSocket-Version: 13 首先, Sec-WebSocket-Key 是一个 Base64 encode 的值,这个是浏览器随机生成的,告诉服务器:不要忽悠我,我要验证尼是不是真的是Websocket助理。 然后, Sec\_WebSocket-Protocol 是一个用户定义的字符串,用来区分同URL下,不同的服务所需要的协议。简单理解:今晚我要服务A,别搞错啦~ 最后, Sec-WebSocket-Version 是告诉服务器所使用的 Websocket Draft(协议版本),在最初的时候,Websocket协议还在 Draft 阶段,各种奇奇怪怪的协议都有,而且还有很多期奇奇怪怪不同的东西,什么Firefox和Chrome用的不是一个版本之类的,当初Websocket协议太多可是一个大难题。不过现在还好,已经定下来啦~大家都使用的一个东西~ : 服务员,我要的是13岁的噢 2. 服务器到客户端的内容: HTTP/1.1 101 Switching Protocols Upgrade: websocket Connection: Upgrade Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk= Sec-WebSocket-Protocol: chat 其中: Upgrade: websocket Connection: Upgrade 依然是固定的,告诉客户端即将升级的是 Websocket 协议,而不是mozillasocket,lurnarsocket或者shitsocket。 然后, Sec-WebSocket-Accept 这个则是经过服务器确认,并且加密过后的 Sec-WebSocket-Key 。 服务器:好啦好啦,知道啦,给你看我的ID CARD来证明行了吧。。 后面的, Sec-WebSocket-Protocol 则是表示最终使用的协议。 至此,HTTP已经完成它所有工作了,接下来就是完全按照Websocket协议进行了。 3. WebSocket 客户端 API 对于 WebSocket 客户端,主流的浏览器(包括 PC 和移动终端)现已都支持标准的 HTML5 的 WebSocket API,这意味着客户端的 WebSocket JavaScirpt 脚本具备良好的一致性和跨平台特性,以下列举了常见的浏览器厂商对 WebSocket 的支持情况: 表 2.WebSocket 客户端支持 <table> <tbody> <tr> <td><p><strong><span style="color:rgb(75,75,75);"><span style="font-size:14px;">浏览器</span></span></strong></p></td> <td><p><strong><span style="color:rgb(75,75,75);"><span style="font-size:14px;">支持情况</span></span></strong></p></td> </tr> <tr> <td style="background:rgb(255,255,255);"><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">Chrome</span></span></p></td> <td style="background:rgb(255,255,255);"><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">Chrome version 4+<span style="font-family:'宋体';">支持</span></span></span></p></td> </tr> <tr> <td><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">Firefox</span></span></p></td> <td><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">Firefox version 5+<span style="font-family:'宋体';">支持</span></span></span></p></td> </tr> <tr> <td style="background:rgb(255,255,255);"><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">IE</span></span></p></td> <td style="background:rgb(255,255,255);"><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">IE version 10+<span style="font-family:'宋体';">支持</span></span></span></p></td> </tr> <tr> <td><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">Safari</span></span></p></td> <td><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">IOS 5+<span style="font-family:'宋体';">支持</span></span></span></p></td> </tr> <tr> <td style="background:rgb(255,255,255);"><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">Android Brower</span></span></p></td> <td style="background:rgb(255,255,255);"><p><span style="color:rgb(75,75,75);"><span style="font-size:14px;">Android 4.5+<span style="font-family:'宋体';">支持</span></span></span></p></td> </tr> </tbody> </table> 二、技术对比 在websocket之前最常用的两类方案是 : 1.客户端轮询 客户端定时访问服务器,有没有新消息,如果定时器时间设太长,则消息有延迟;如果时间设太短,服务器将要承受严重的访问压力。 2.长连接 也就是说,客户端发起连接后,如果没消息,就一直不返回Response给客户端。直到有消息才返回,返回完之后,客户端再次建立连接,周而复始。这对服务器需要提供的连接数有较高的要求。 在这种情况下出现了,Websocket出现了。他解决了HTTP的这几个难题。首先,被动性,当服务器完成协议升级后(HTTP->Websocket),服务端就可以主动推送信息给客户端啦。 只需要经过一次HTTP请求,就可以做到源源不断的信息传送了。(在程序设计中,这种设计叫做回调,即:你有信息了再来通知我,而不是我傻乎乎的每次跑来问你 ) 这样的协议解决了上面同步有延迟,而且还非常消耗资源的这种情况。那么为什么他会解决服务器上消耗资源的问题呢? 其实我们所用的程序是要经过两层代理的,即HTTP协议在Nginx等服务器的解析下,然后再传送给相应的Handler(PHP等)来处理。简单地说,我们有一个非常快速的 接线员(Nginx) ,他负责把问题转交给相应的 客服(Handler) 。 本身接线员基本上速度是足够的,但是每次都卡在客服(Handler)了,老有客服处理速度太慢。,导致客服不够。Websocket就解决了这样一个难题,建立后,可以直接跟接线员建立持久连接,有信息的时候客服想办法通知接线员,然后接线员在统一转交给客户。 这样就可以解决客服处理速度过慢的问题了。 同时,在传统的方式上,要不断的建立,关闭HTTP协议,由于HTTP是非状态性的,每次都要重新传输 identity info (鉴别信息),来告诉服务端你是谁。 虽然接线员很快速,但是每次都要听这么一堆,效率也会有所下降的,同时还得不断把这些信息转交给客服,不但浪费客服的处理时间,而且还会在网路传输中消耗过多的流量/时间。 但是Websocket只需要一次HTTP握手,所以说整个通讯过程是建立在一次连接/状态中,也就避免了HTTP的非状态性,服务端会一直知道你的信息,直到你关闭请求,这样就解决了接线员要反复解析HTTP协议,还要查看identity info的信息。 同时由客户主动询问,转换为服务器(推送)有信息的时候就发送(当然客户端还是等主动发送信息过来的。。),没有信息的时候就交给接线员(Nginx),不需要占用本身速度就慢的客服(Handler)了.
还没有评论,来说两句吧...