构建websocket服务
websocket的优势:
- 客户端与服务器只需要一个tcp连接
- 服务器可以推送到客户端
- 轻量化的协议头,提高传输效率
node使用websocket的优势:
- WebSocket客户端基于事件的编程模式和node的自定义事件类似
- websocket需要客户端与服务器之间的长连接,node事件驱动的方式擅长与量大的客户端保持高并发连接
WebSocket握手
客户端发起升级协议请求:
GET / chat HTTP / 1.1
Host: server.example.com
Upgrade: websocket //升级协议为websocket
Connection: Upgrade
Sec - WebSocket - Key: dGhlIHNhbXBsZSBub25jZQ ==
Sec - WebSocket - Protocol: chat, superchat //子协议
Sec - WebSocket - Version: 13 //版本号
Sec-WebSocket-Key用于安全校验,值是随机生成的Base64编码的字符串。服务端将其与字符串258EAFA5-E914-47DA-95CA-C5AB0DC85B11拼接,然后再用sha1计算再Base64编码
var crypto = require('crypto');
var val = crypto.createHash('sha1').update(key).digest('base64');
//服务端响应b报文
HTTP / 1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec - WebSocket - Accept: s3pPLMBiTxaQ9kYGzzhZRbK + xOo =
Sec - WebSocket - Protocol: chat
客户端校验Sec-WebSocket-Accept,正确的话就开始数据传输
WebSocket数据传输
在握手后就开始websocket数据帧协议, 握手完成客户端onopen()被触发
socket.onopen = function() {
// TODO: opened()
};
服务端没有onopen()方法,想完成tcp套接字事件到websocket事件的封装,需要在收发数据时处理,Websocket的数据帧是在底层data事件上封装的
//接收
WebSocket.prototype.setSocket = function(socket) {
this.socket = socket;
this.socket.on('data', this.receiver);
};
//发送
WebSocket.prototype.send = function(data) {
this._send(data);
};
当一端调用send()发送时,另一端会触发onmessage,协议可能将数据封装为多帧发送。客户端需要对发送的数据帧做掩码处理,服务端收到无掩码帧会断开连接,而服务端发送时不需要
websocket数据帧定义
Smaller icon
- fin 如果这数据帧是最后一帧时为1(如果数据就一帧,它也是1),其余为0
- rsv1、rsv2、rsv3:1位长 用于标识拓展,当有拓展时为1
- opcode: 4位(0~15) 0:附加数据帧 ,1:文本数据帧 ,2:二进制数据帧,8:发送一个连接关闭帧,9:ping数据帧 ,10:pong数据帧 ping,pong用于心跳检测,一端发ping、一端发pong
- masked 是否进行掩码处理 客户端发送时是1 服务端是0
- payload 标识数据长度
- masking key 当masked为1时存在 长度32位 用于解密
- payload data 目标数据 位数为8的倍数
网络服务和安全
- ssl(Secure Sockets Layer,安全套接层),应用在传输层
- TLS(Transport Layer Security,安全传输层协议),由IETF标准化
node提供crypto,tls,https。crypto用于加解密,tls与net功能类似,区别是它建立在TLS/SSL加密的tcp.https和http接口也一致,也是区别在建立于安全的连接
TLS/SSL
- 非对称加密,公钥用于加密传输数据,私钥解密
Smaller icon
node的tls/ssl是用openssl实现的,公、私钥生成参照:
// 生成服务器端私
$ openssl genrsa -out server.key 1024 // 生成客户端私
$ openssl genrsa -out client.key 1024
//利用上面的1024位长的RSA私钥生成公钥
$ openssl rsa -in server.key -pubout -out server.pem
$ openssl rsa -in client.key -pubout -out client.pem
数字证书
- 由CA颁发,并提供验证
- 防止中间人攻击
中间人攻击:在服务端和客户端交换密钥时,伪装成其中一方发送公钥,如对客户端就伪装成服务端。所以需要对公钥认证,确认来自目标服务器
服务端通过私钥生成CSR(Certificate Signing Request,证书签名请求),ca通过它颁发属于该服务器的签名证书
自签名证书流程:
\\ca生成私钥,csr文件,和自签名的证书
$ openssl genrsa -out ca.key 1024
$ openssl req -new -key ca.key -out ca.csr
$ openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
\\服务器生成csr,向ca申请签名,获取证书
$ openssl req -new -key server.key -out server.csr
$ openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
客户端发起安全连接会获取服务端证书,然后用ca的证书验证服务器证书,包括真伪、服务器名称、ip等。对于知名ca,它的证书一般预装在浏览器,自签的ca需要客户端安装才能验证
创建tcl服务
- 通过node的tls创建安全的tcp服务
//服务端
var tls = require('tls');
var fs = require('fs');
var options = {
key: fs.readFileSync('./keys/server.key'),
cert: fs.readFileSync('./keys/server.crt'),
requestCert: true,
ca: [fs.readFileSync('./keys/ca.crt')]
};
var server = tls.createServer(options, function(stream) {
console.log('server connected', stream.authorized ? 'authorized' : 'unauthorized');
stream.write("welcome!\n");
stream.setEncoding('utf8');
stream.pipe(stream);
});
server.listen(8000, function() {
console.log('server bound');
});
//测试: $ openssl s_client -connect 127.0.0.1:8000
//客户端
$ openssl genrsa - out client.key 1024
$ openssl req - new - key client.key - out client.csr
$ openssl x509 - req - CA ca.crt - CAkey ca.key - CAcreateserial - in client.csr - out client.crt
var fs = require('fs');
var tls = require('tls');
var options = {
key: fs.readFileSync('./keys/client.key'),
cert: fs.readFileSync('./keys/client.crt'),
ca: [fs.readFileSync('./keys/ca.crt')]
};
var stream = tls.connect(8000, options, function() {
console.log('client connected', stream.authorized ? 'authorized' : 'unauthorized');
process.stdin.pipe(stream);
});
stream.setEncoding('utf8');
stream.on('data', function(data) {
console.log(data);
});
stream.on('end', function() {
server.close();
});
//和tcp相比只是多了证书配置
https服务
- 使用node的https,比http多了一个配置
var https = require('https');
var fs = require('fs');
var options = {
key: fs.readFileSync('./keys/server.key'),
cert: fs.readFileSync('./keys/server.crt')
};
https.createServer(options, function(req, res) {
res.writeHead(200);
res.end("hello world\n");
}).listen(8000);
//验证 $ curl https://localhost:8000/ -k, 忽略证书验证 -carcert ca证书地址
//客户端
var https = require('https');
var fs = require('fs');
var options = {
hostname: 'localhost',
port: 8000,
path: '/',
method: 'GET',
key: fs.readFileSync('./keys/client.key'),
cert: fs.readFileSync('./keys/client.crt'),
ca: [fs.readFileSync('./keys/ca.crt')]
};
options.agent = new https.Agent(options);//https代理另设
var req = https.request(options, function(res) {
res.setEncoding('utf-8');
res.on('data', function(d) {
console.log(d);
});
});
req.end();
req.on('error', function(e) {
console.log(e);
});
