Web服務器為了支持https訪問，通常會使用第三方庫openssl實現(xiàn)，而且為了高性能采用異步事件驅動模型，因此連接套接字被設為非阻塞類型，本文在nginx ssl模塊的基礎上，簡化提取它的核心框架，使用面向對象的方式描述，從握手、讀寫和關閉3個方面進行了分析，由于這3個操作都是異步的，因此操作失敗后要調用SSL_get_error來獲取錯誤碼，有如下4種情況。
   ● SSL_ERROR_WANT_READ：操作沒完成，需要在下一次讀事件中繼續(xù)
   ● SSL_ERROR_WANT_WRITE：操作沒完成，需要在下一次寫事件中繼續(xù)
   ● SSL_ERROR_ZERO_RETURN：連接正常關閉
   ● 其它：連接出錯
  
   下面的示例代碼使用了libevent實現(xiàn)IO事件驅動，connection表示普通連接類，假設已經(jīng)處理好了http數(shù)據(jù)的邏輯，實現(xiàn)在成員函數(shù)handle_read和handle_write內(nèi)，虛函數(shù)recv、send和close分別調用系統(tǒng)的API recv、send和close；ssl_conn_t表示安全連接類，由于只是IO處理不同：收到數(shù)據(jù)后解密，發(fā)送數(shù)據(jù)前加密。解密后的操作和connection是一樣的，因此ssl_conn_t繼承connection，重寫了recv、send和close，其中close調用了shutdown。

異步握手
   當在SSL端口接受到連接時，首先要進行握手，握手成功后才能收發(fā)數(shù)據(jù)，如果握手失敗而且返回前2種錯誤碼，那么要在下一次操作中繼續(xù)握手。     以上do_handshake是核心函數(shù)，調用了SSL_do_handshake來實現(xiàn)握手，當SSL_do_handshake失敗時，如果返回SSL_ERROR_WANT_READ，就改變讀函數(shù)指針為handshake_handler，寫函數(shù)指針為empty_handler；如果返回SSL_ERROR_WANT_WRITE，就改變讀函數(shù)指針為empty_handler，寫函數(shù)指針為handshake_handler。handshake_handler實現(xiàn)在讀寫事件中繼續(xù)處理握手，而empty_handler是個空函數(shù)，什么也不做。
   
異步讀寫
   對于讀操作失敗，如果返回SSL_ERROR_WANT_WRITE，那么說明要在下一次寫事件中繼續(xù)讀數(shù)據(jù)，因此要改變寫函數(shù)指針，使其讀數(shù)據(jù)，當讀成功后，要還原寫函數(shù)針，并激發(fā)一次寫事件；對于寫操作失敗，如果返回SSL_ERROR_WANT_READ，那么說明要在下一次讀事件中繼續(xù)寫數(shù)據(jù)，因此要改變讀函數(shù)指針，使其寫數(shù)據(jù)，當寫成功后，要還原讀函數(shù)指針，并激發(fā)一次讀事件。如果不還原讀或寫函數(shù)指針，那么會發(fā)生寫或讀混亂；還原后，要激發(fā)一次讀或寫事件，這是為了延續(xù)IO事件的進行，防止讀寫?zhàn)I死。     以上recv調用SSL_read，如果失敗并且返回SSL_ERROR_WANT_WRITE，就保存老的寫函數(shù)指針，改變寫函數(shù)指針為write_handler，write_handler實現(xiàn)在寫事件中繼續(xù)讀數(shù)據(jù)；send調用SSL_write，如果失敗并且返回SSL_ERROR_WANT_READ，就保存老的讀函數(shù)指針，改變讀函數(shù)指針為read_handler，read_handler實現(xiàn)在讀事件中繼續(xù)寫數(shù)據(jù)。

異步關閉
   當握手或讀寫因連接關閉或出錯而失敗時，就要關閉連接了，如果失敗并且返回SSL_ERROR_WANT_READ或SSL_ERROR_WANT_WRITE，那么要在下一次讀或寫事件中繼續(xù)關閉。在這里，為了收到對方發(fā)送的協(xié)議退出包而完全退出，等待30秒再關閉，如果超時就直接關閉。     以上do_shutdown是核心函數(shù)，調用SSL_shutdown實現(xiàn)，如果失敗并且返回SSL_ERROR_WANT_READ或SSL_ERROR_WANT_WRITE，就改變讀寫函數(shù)指針為shutdown_handler，shutdown_handler實現(xiàn)在讀寫事件中繼續(xù)關閉處理。