微信小程序 WebSocket 端口號配置

https://blog.liuguofeng.com/p/4630

服務端開啟 WebSocket，使用 WorkerMan + phpSocket.io

開啟的端口為 2120，訪問為 ws://wanaioa.unetu.net:2120/

由於微信小程序只能使用 443 端口，需將域名的 443 端口進行轉發，同時為了保證原 https 的正常運作，參照網上的教程，將域名的 uri 匹配  xxx.xxx/wss 進行轉發，其余不進行轉發

location /wss
  {
    proxy_pass http://0.0.0.0:2120;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "Upgrade";
    proxy_set_header X-Real-IP $remote_addr;
  }

參考文獻

https://www.kancloud.cn/walkor/workerman/315297

以下為 WorkerMan 的原文

創建wss服務

問：

Workerman如何創建一個wss服務，使得客戶端可以用過wss協來連接通訊，比如在微信小程序中連接服務端。

答：

wss協議實際是websocket+SSL，就是在websocket協議上加入SSL層，類似https(http+SSL)。
所以只需要在websocket協議的基礎上開啟SSL即可支持wss協議。

方法一 ，直接用Workerman開啟SSL

准備工作：

1、Workerman版本不小於3.3.7

2、PHP安裝了openssl擴展

3、已經申請了證書（pem/crt文件及key文件）放在磁盤任意目錄

代碼：

<?php
require_once __DIR__ . '/Workerman/Autoloader.php';
use Workerman\Worker;

// 證書最好是申請的證書
$context = array(
    // 更多ssl選項請參考手冊 http://php.net/manual/zh/context.ssl.php
    'ssl' => array(
        // 請使用絕對路徑
        'local_cert'                 => '磁盤路徑/server.pem', // 也可以是crt文件
        'local_pk'                   => '磁盤路徑/server.key',
        'verify_peer'                => false,
        // 'allow_self_signed' => true, //如果是自簽名證書需要開啟此選項
    )
);
// 這里設置的是websocket協議（端口任意，但是需要保證沒被其它程序占用）
$worker = new Worker('websocket://0.0.0.0:443', $context);
// 設置transport開啟ssl，websocket+ssl即wss
$worker->transport = 'ssl';
$worker->onMessage = function($con, $msg) {
    $con->send('ok');
};

Worker::runAll();

通過以上的代碼，Workerman就監聽了wss協議，客戶端就可以通過wss協議來連接workerman實現安全即時通訊了。

測試

打開chrome瀏覽器，按F12打開調試控制台，在Console一欄輸入(或者把下面代碼放入到html頁面用js運行)

// 證書是會檢查域名的，請使用域名連接
ws = new WebSocket("wss://域名");
ws.onopen = function() {
    alert("連接成功");
    ws.send('tom');
    alert("給服務端發送一個字符串：tom");
};
ws.onmessage = function(e) {
    alert("收到服務端的消息：" + e.data);
};

注意：

1、如果無法啟動，則一般是443端口被占用，請改成其它端口，注意改成其它端口后客戶端連接時需要帶上端口號，客戶端連接時地址類似wss://domain.com:xxx ，xxx為端口號。如果必須使用443端口請使用方法二代理的方式實現wss。

2、wss端口只能通過wss協議訪問，ws無法訪問wss端口。

3、證書一般是與域名綁定的，所以測試的時候客戶端請使用域名連接，不要使用ip去連。

4、如果出現無法訪問的情況，請檢查服務器防火牆。

5、此方法要求PHP版本>=5.6，因為微信小程序要求tls1.2，而PHP5.6以下版本不支持tls1.2。

方法二、利用nginx/apache代理wss

除了用Workerman自身的SSL，也可以利用nginx/apache作為wss代理轉發給workerman（注意此方法workerman部分千萬不要設置ssl，否則將無法連接）。

通訊原理及流程是：

1、客戶端發起wss連接連到nginx/apache

2、nginx/apache將wss協議的數據轉換成ws協議數據並轉發到Workerman的websocket協議端口

3、Workerman收到數據后做業務邏輯處理

4、Workerman給客戶端發送消息時，則是相反的過程，數據經過nginx/apache轉換成wss協議然后發給客戶端

nginx配置參考

前提條件及准備工作：

1、已經安裝nginx，版本不低於1.3

2、假設Workerman監聽的是8282端口(websocket協議)

3、已經申請了證書（pem/crt文件及key文件）放在了/etc/nginx/conf.d/ssl下

4、打算利用nginx開啟443端口對外提供wss代理服務（端口可以根據需要修改）

5、nginx一般作為網站服務器運行着其它服務，為了不影響原來的站點使用，這里使用地址 域名/wss 作為wss的代理入口。也就是客戶端連接地址為 wss://域名/wss

nginx配置類似如下：

server {
  listen 443;

  ssl on;
  ssl_certificate /etc/ssl/server.pem;
  ssl_certificate_key /etc/ssl/server.key;
  ssl_session_timeout 5m;
  ssl_session_cache shared:SSL:50m;
  ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

  location /wss
  {
    proxy_pass http://127.0.0.1:8282;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "Upgrade";
    proxy_set_header X-Real-IP $remote_addr;
  }
  
  # location / {} 站點的其它配置...
}

測試

// 證書是會檢查域名的，請使用域名連接
ws = new WebSocket("wss://域名/wss");

ws.onopen = function() {
    alert("連接成功");
    ws.send('tom');
    alert("給服務端發送一個字符串：tom");
};
ws.onmessage = function(e) {
    alert("收到服務端的消息：" + e.data);
};

利用apache代理wss

也可以利用apache作為wss代理轉發給workerman（注意如使用apache代理SSL，則workerman部分千萬不要設置ssl，否則將無法連接）。

准備工作：
1、GatewayWorker 監聽 8282 端口(websocket協議)

2、已經申請了ssl證書, 放在了/server/httpd/cert/ 下

3、利用apache轉發443端口至指定端口8282

4、httpd-ssl.conf 已加載

5、openssl 已安裝

啟用 proxy_wstunnel_module 模塊

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_wstunnel_module modules/mod_proxy_wstunnel.so

配置SSL及代理

#extra/httpd-ssl.conf
DocumentRoot "/網站/目錄"
ServerName 域名

# Proxy Config
SSLProxyEngine on

ProxyRequests Off
ProxyPass /wss ws://127.0.0.1:8282
ProxyPassReverse /wss ws://127.0.0.1:8282

# 添加 SSL 協議支持協議,去掉不安全的協議
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 證書公鑰配置
SSLCertificateFile /server/httpd/cert/your.pem
# 證書私鑰配置
SSLCertificateKeyFile /server/httpd/cert/your.key
# 證書鏈配置,
SSLCertificateChainFile /server/httpd/cert/chain.pem

測試

// 證書是會檢查域名的，請使用域名連接
ws = new WebSocket("wss://域名/wss");

ws.onopen = function() {
    alert("連接成功");
    ws.send('tom');
    alert("給服務端發送一個字符串：tom");
};
ws.onmessage = function(e) {
    alert("收到服務端的消息：" + e.data);
};