Nginx     websocket    

WebSocket 结合 Nginx 实现 WSS 协议访问

1,463 次访问
Sherlock
Scroll Down

了解 WebSocket

可以参考维基百科:https://zh.wikipedia.org/wiki/WebSocket
或知乎网友回答:https://www.zhihu.com/question/20215561/answer/40316953

Nginx 反向代理 WebSocket (需要Nginx 1.3+)

在开发中遇到了,部分生产环境,NginxWebSocket 不在同一台服务的情况,可以通过 Nginx 做反向代理。

http {

    // ...省略

    map $http_upgrade $connection_upgrade {
        default upgrade;
        ''      close;
    }

    server {

        listen       2425;  #监听2425 
        server_name localhost;

        location / {
            proxy_pass http://localhost:xxx; #代理xxx

            #proxy_connect_timeout 60;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            #proxy_set_header X-NginX-Proxy true;

            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
            # 这是配置webpysessoin丢失的问题
            fastcgi_param  SCRIPT_NAME        "";
            }
        }

    // ...省略
}

ws VS wss

WebSocket 使用 wswss 的统一资源标志符,类似于 HTTPHTTPS,其中 wss 表示在 TLS 之上的 WebSocket ,相当于 HTTPS 了。
默认情况下,WebSocketws 协议使用 80 端口;运行在TLS之上时,wss 协议默认使用 443 端口。其实说白了,wss 就是 ws 基于 SSL 的安全传输,与 HTTPS 一样的道理。

如果你的网站是 HTTPS 协议的,那你就不能使用 ws:// 了,浏览器会 block 掉连接,和 HTTPS 下不允许 HTTP 请求一样.

Mixed Content: The page at 'https://domain.com/' was loaded over HTTPS, but attempted to connect to the insecure WebSocket endpoint 'ws://x.x.x.x:xxxx/'. This request has been blocked; this endpoint must be available over WSS.

这种情况,毫无疑问我们就需要使用 wss:// 安全协议了,首先把 ws:// 改为 wss:// ,改好之后尝试会报错:

WebSocket connection to 'wss://IP地址:端口号/websocket' failed: Error in connection establishment: net::ERR_SSL_PROTOCOL_ERROR

明显的 SSL 协议错误,说明是证书的问题。

Nginx 配置支持 WSS

在配置 HTTPS server {} 中(必须是这里,不然ssl无效)加入如下配置:

location /websocket {  
    proxy_pass http://127.0.0.1:xx;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

再次连接试一下,不出意外会看 101 状态码,至此大功告成。

后记

Nginx 自从 1.3 版本就开始支持 WebSocket 了,并且可以为 WebSocket 应用程序做反向代理和负载均衡。
WebSocketHTTP 协议不同,但是 WebSocket 中的握手和 HTTP 中的握手兼容,它使用 HTTP 中的 Upgrade 协议头将连接从 HTTP 升级到 WebSocket,当客户端发过来一个 Connection: Upgrade 请求头时,Nginx 是不知道的,所以,当 Nginx 代理服务器拦截到一个客户端发来的 Upgrade 请求时,需要显式来设置 ConnectionUpgrade 头信息,并使用 101(交换协议)返回响应,在客户端和代理服务器、后端服务器之间建立隧道来支持 WebSocket

当然,还需要注意一下,WebSockets 仍然受到 Nginx 缺省为 60 秒的 proxy_read_timeout 的影响。这意味着,如果你有一个程序使用了 WebSockets,但又可能超过 60 秒不发送任何数据的话,那你要么需要增加超时时间,要么实现一个 ping 的消息以保持联系。使用 ping 的解决方法有额外的好处,可以发现连接是否被意外关闭。
更具体文档详见 Nginx 官方文档:http://nginx.org/en/docs/http/websocket.html

本文转载自CSDN博文,在开发中也遇到了类似问题,有少许改动,记录下。

本文由 Sherlock 创作,如果您觉得本文不错,请随意赞赏
采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
原文链接:https://halo.sherlocky.com/archives/websocket-jie-he-nginx-shi-xian-yu-ming-ji-wss-xie-yi-fang-wen
最后更新于:2017-12-29 10:46:48

最新文章
JDK keytool 查询、添加、删除本地证书,解决 https 请求报错问题

https协议对于开发者而言其实只是多了一步证书验证的过程。对于JDK而言这个证书通常情况下被jdk/jre/security/cacerts所管理。里面证书包含两种情况:1、机构所颁发的被认证的证书,这种证书的网站在浏览器访问时https头一般会显示为绿色或者一个灰色小锁的标识。2、个人所设定的证
DM7 达梦数据库安装后配置及调优

国产达梦数据库安装完成以后,需要做一些配置及调优。

CentOS7 Nginx 服务化、开机自启动

安装 Nginx 支持 yum 安装,很方便。 直接上命令:vi/usr/lib/systemd/system/nginx.service编辑文件内容
群晖 NAS Let's Encrypt 泛域名证书自动更新

我们都知道可以使用Let’sEncrypt免费申请HTTPS证书。而且现在acme协议版本更新了,开始支持泛域名(wildcard)了,这样可以只申请一个类似*.xxx.com的证书,而不需要单独为每个子域名申请证书了。很爽~大神已经对acme脚本做了群晖NAS的适配——syno-acme,我们就是
使用七牛云 API 上传 letsencrypt SSL 证书并绑定到 CDN

certbot 生成的 letsencrypt 证书,可惜只有3个月有效期,好在可以无限续命,nginx 配置在上文中已经实现了自动刷新证书。 另外笔者使用了七牛云的 CDN,同样需要SSL证书,但是每次更新后都需要手动上传。今日下班后闲着无聊研究了一下七牛的API,简单实现了证书上传脚本。
分类
生活 life
杂记 zaji
娱乐 yule
标签
nfs nfs
达梦 达梦
sql sql
postgresql postgresql
css css
mybatis mybatis
博客 1576560981808
微服务 1575621302506
SSL ssl
yum yum
https https
leetcode leetcode
JDBC jdbc
pdf pdf
itext itext
python python
MySQL8 mysql8
CTE cte
windows windows
ss ss
缓存 huan-cun
dubbo dubbo
死锁 si-suo
TCP tcp
cha
Exception exception
Restful restful
Elasticsearch elasticsearch
语录 yu-lu
IO io
儿童 er-tong
教育 jiao-yu
算法 suan-fa
历史 li-shi
书法 shu-fa
管理 guan-li
James james
邮件 you-jian
Gradle gradle
Tomcat tomcat
Android android
wan
笔记 bi-ji
多线程 duo-xian-cheng
transaction transaction
ffmpeg ffmpeg
NAS nas
Node.js nodejs
rss rss-tag
json json
websocket websocket
car car
book book
frp frp
MQ mq
Google google
Apache apache
httpd httpd
CentOS7 centos7
诗歌 shi-ge
美文 mei-wen
svn svn
Docker docker
EPEL epel
文件 wen-jian
分布式 fen-bu-shi
log log
上传 shang-chuan
断点续传 duan-dian-xu-chuan
learning learning
ip ip
SpringBoot springboot
Ubuntu ubuntu
加密 jia-mi
Bcrypt bcrypt
sftp sftp
极客 ji-ke
路由 lu-you
刷机 shua-ji
IDEA idea
开源 kai-yuan
许可证 xu-ke-zheng
findbugs findbugs
php php
webstorm webstorm
内存 nei-cun
GPU gpu
Spring spring
MVC mvc
并发 bing-fa
CentOS centos
面试 mian-shi
硬件 ying-jian
cpu cpu
percona-toolkit percona-toolkit
Maven maven
eclipse eclipse
重构 zhong-gou
Lua lua
恢复 hui-fu
数据迁移 shu-ju-qian-yi
tag tag
命令 ming-ling
scp scp
复制 fu-zhi
备份 bei-fen
定时任务 ding-shi-ren-wu
cron cron
Linux linux
服务器 fu-wu-qi
性能 xing-neng
iptables iptables
vps vps
MySQL mysql
markdown markdown
Git git
Github github
reading reading
Redis redis
cache cache
Java java
octopress octopress
JVM jvm
Nginx nginx
web web
CDN cdn
forever forever
Ghost ghost-tag