Websocket協議是為了解決web即時應用中服務器與客戶端瀏覽器全雙工通信的問題而設計的,是完全意義上的Web應用端的雙向通信技術,可以取代之前使用半雙工HTTP協議而模擬全雙工通信,同時克服了帶寬和訪問速度等的諸多問題。協議定義為ws和wss協議,分別為普通請求和基于SSL的安全傳輸,占用端口與http協議系統,ws為80端口,wss為443端口,這樣可以支持HTTP代理。
協議包含兩個部分,第一個是“握手”,第二個是數據傳輸。
一、Websocket URI
定義的兩個協議框架ws和wss與http類似,而且各自部分的要求也是在HTTP協議中使用的一樣,各自的URI如下:
ws-URI = "ws:" "http://" host [ ":" port ] path [ "?" query ]
wss-URI = "wss:" "http://" host [ ":" port ] path [ "?" query ]
其中port是可選項,query前接“?”。
二、握手(Opening & Closing Handshake)打開連接
當建立一個Websocket連接時,為了保持基于HTTP協議的服務器軟件和中間件進行兼容工作,客戶端打開一個連接時使用與HTTP連接的同一個端口到服務器進行連接,這樣被設計為一個升級的HTTP請求。
1、發送握手請求
此時的連接狀態是CONNECTING,客戶端需要提供host、port、resource-name和一個是否是安全連接的標記,也就是一個WebSocket URI。
客戶端發送的一個到服務器端握手請求如下:
GET /chat HTTP/1.1 Host: server.example.com Upgrade: websocket Connection: Upgrade Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ== Origin: http://example.com Sec-WebSocket-Protocol: chat, superchat Sec-WebSocket-Version: 13
這個升級的HTTP請求頭中的字段順序是可以隨便的。與普通HTTP請求相比多了一些字段。
- Sec-WebSocket-Protocol:字段表示客戶端可以接受的子協議類型,也就是在Websocket協議上的應用層協議類型。上面可以看到客戶端支持chat和superchat兩個應用層協議,當服務器接受到這個字段后要從中選出一個協議返回給客戶端。
- Upgrade:告訴服務器這個HTTP連接是升級的Websocket連接。
- Connection:告知服務器當前請求連接是升級的。
- Origin:該字段是用來防止客戶端瀏覽器使用腳本進行未授權的跨源攻擊,這個字段在WebSocket協議中非常重要。服務器要根據這個字段判斷是否接受客戶端的Socket連接。可以返回一個HTTP錯誤狀態碼來拒絕連接。
- Sec-WebSocket-Key:為了表示服務器同意和客戶端進行Socket連接,服務器端需要使用客戶端發送的這個Key進行校驗,然后返回一個校驗過的字符串給客戶端,客戶端驗證通過后才能正式建立Socket連接。服務器驗證方法是:首先進行 Key + 全局唯一標示符(GUID)“258EAFA5-E914-47DA-95CA-C5AB0DC85B11”連接起來,然后將連接起來的字符串使用SHA-1哈希加密,再進行base64加密,將得到的字符串返回給客戶端作為握手依據。其中GUID是一個對于不識別WebSocket的網絡端點不可能使用的字符串。
發送請求的要求:
- 請求的WebSocket URI必須要是定義的有效的URI。
- 如果客戶端已經有一個WebSocket連接到遠程服務器端,不論是否是同一個服務器,客戶端必須要等待上一個連接關閉后才能發送新的連接請求,也就是同一客戶端一次只能存在一個WebSocket連接。如果想同一個服務器有多個連接,客戶端必須要串行化進行。如果客戶端檢測到多個到不同服務器的連接,應該限制一個最大連接數,在web瀏覽器中應該設定最多可以打開的標簽頁的數目。這樣可以防止到遠程服務器的DDOS攻擊,但這是對到多個服務器的連接,如果是到同一個服務器連接,并沒有數目限制。
- 如果使用了代理服務器,那么客戶端建立連接的時候需要告知代理服務器向目標服務器打開TCP連接。
- 如果連接沒有打開,一定是某一方出現錯誤,此時客戶端必須要關閉再次連接的嘗試。
- 連接建立后,握手必須要是一個有效的HTTP請求
- 請求的方式必須是GET,HTTP協議的版本至少是1.1
- Upgrade字段必須包含而且必須是"websocket",Connection字段必須內容必須是“Upgrade”
- Sec-Websocket-Version必須,而且必須是13
2、返回握手應答
服務器返回正確的相應頭后,客戶端驗證后將建立連接,此時狀態為OPEN。服務器響應頭如下:
HTTP/1.1 101 Switching Protocols Upgrade: websocket Connection: Upgrade Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo= Sec-WebSocket-Protocol: chat
響應頭握手過程中是服務器返回的是否同意握手的依據。
- 首行返回的是HTTP/1.1協議版本和狀態碼101,表示變換協議(Switching Protocol)
- Upgrade 和 Connection:這兩個字段是服務器返回的告知客戶端同意使用升級并使用websocket協議,用來完善HTTP升級響應
- Sec-WebSocket-Accept:服務器端將加密處理后的握手Key通過這個字段返回給客戶端表示服務器同意握手建立連接。
- Sec-Websocket-Procotol:服務器選擇的一個應用層協議。
上述響應頭字段被客戶端瀏覽器解析,如果驗證到Sec-WebSocket-Accept字段的信息符合要求就會建立連接,同時就可以發送WebSocket的數據幀了。如果該字段不符合要求或者為空或者HTTP狀態碼不為101,就不會建立連接。
服務器端響應步驟:
- 解析握手請求頭:獲取握手依據Key并進行處理,檢測HTTP的GET請求和版本是否準確,Host字段是否有權限,Upgrade字段中websocket是一個與大小寫無關的ASCII字符串,Connection字段是一個大小寫無關的"Upgrade"ASCII字符串,Websocket協議版本必須為13,其他的關于Origin、Protocol和Extensions可選。
- 發送握手響應頭:檢測是否是wss協議連接,如果是就是用TLS握手連接,否則就是普通連接。服務器可以添加額外的驗證信息到客戶端進行驗證。當進行一系列驗證之后,服務器必須返回一個有效的HTTP響應頭。響應頭中每一行一個字段,結束必須為“\r\n”,使用的ABNF語法。
除了上述必要頭字段之外,其他的HTTP協議定義的字段都可以使用,如Set-Cookie等。