Как нынче делают WSS?

Question

[Валера Карманов]

Можно ли запустить WSS на PHP используя сертификат SSL или по правильному будет делать прокси на Apache2?

P. S. Хочу запустить WebSocket на PHP с использованием WSS, проблема запустить сервер на WSS. Пытаюсь это ковырять на OpenServer-е

Comments

[Антон Антон]

PHP не предназначен для сокетов, сделайте по нормальному - на ноде, например. И на апаче или нгинксе или что там в интернет смотрит с настроенным ssl сделайте реверс прокси.

[Vitsliputsli]

Антон Антон, а что там не предназначено? И почему на ноде лучше?

Answer 1

[Данила]

Как сказал человек выше, лучшим будет использование реверс-прокси на Nginx. Причин этому достаточно, во-первых, высокая производительность, особенно если у вас проект высоконагружаемый, отлично работает с SSL.

Вот пример конфигурации Nginx для правильной работы:

server {
    listen 443 ssl;
    server_name your-domain.com;

    ssl_certificate /etc/nginx/ssl/your_domain.crt;
    ssl_certificate_key /etc/nginx/ssl/your_domain.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # Прокси для WebSocket
    location /wss/ {
        proxy_pass http://localhost:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location / {
        proxy_pass http://localhost:80;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Comments

[Валера Карманов]

Я правильно понимаю что сам websocket будет работать без шифрования?

[Данила]

Валера Карманов, да, сам websocket сервер, работающий на PHP, будет работать без шифрования по обычному протоколу ws://

[Валера Карманов]

Данила, тогда на PHP создавать сокет на stream_socket_server или socket_create?

[Данила]

Валера Карманов, на PHP лучше использовать stream_socket_server или сторонние библиотеки, такие как Ratchet.

Пример со stream_socket_server:

$server = stream_socket_server("tcp://0.0.0.0:8080", $errno, $errstr);

if (!$server) {
    die("Ошибка: $errstr ($errno)");
}

while ($client = stream_socket_accept($server)) {
    fwrite($client, "Привет, клиент!\n");
    fclose($client);
}

fclose($server);

Пример с Ratchet:

server.php:

use Ratchet\MessageComponentInterface;
use Ratchet\ConnectionInterface;

require __DIR__ . '/vendor/autoload.php';

class ChatServer implements MessageComponentInterface {
    protected $clients;

    public function __construct() {
        $this->clients = new \SplObjectStorage;
    }

    public function onOpen(ConnectionInterface $conn) {
        $this->clients->attach($conn);
        echo "Новое соединение! ({$conn->resourceId})\n";
    }

    public function onMessage(ConnectionInterface $from, $msg) {
        foreach ($this->clients as $client) {
            if ($from !== $client) {
                $client->send($msg);
            }
        }
    }

    public function onClose(ConnectionInterface $conn) {
        $this->clients->detach($conn);
        echo "Соединение {$conn->resourceId} закрыто\n";
    }

    public function onError(ConnectionInterface $conn, \Exception $e) {
        echo "Ошибка: {$e->getMessage()}\n";
        $conn->close();
    }
}

Код для запуска сервера:

use Ratchet\Http\HttpServer;
use Ratchet\WebSocket\WsServer;
use Ratchet\Server\IoServer;

$server = IoServer::factory(
    new HttpServer(
        new WsServer(
            new ChatServer()
        )
    ),
    8080
);

echo "WebSocket сервер запущен на порту 8080\n";
$server->run();

[Валера Карманов]

Данила, спасибо большое, буду пробовать

[Валера Карманов]

Данила, простите, а можно еще один маленький вопрос.
При переходе "https://localhost/wss/" сокет получается заголовки которые были отправлены браузером, а вот если подключаться к "
wss://localhost/wss" то браузер показывает что заголовки были отправлены но в сокете их нет. В чем может проблема?

[Валера Карманов]

использование ws:// выдает ошибку в самом браузере, т .к. сайт работает на https

[Данила]

Валера Карманов, при использовании wss:// соединений нужно правильно проксировать WebSocket соединения через SSL. Браузер требует защищенного соединения wss при работе с сайтами через HTTPS, поэтому ошибка при использовании ws:// ожидаема. Когда вы используете реверс-прокси на Nginx для работы с wss необходимо правильно настроить передачу заголовков Upgrade и Connection. Вот пример того, как можно настроить конфиг nginx:

server {
    listen 443 ssl;
    server_name localhost;

    ssl_certificate /etc/nginx/ssl/your_domain.crt;
    ssl_certificate_key /etc/nginx/ssl/your_domain.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # Прокси для WebSocket (WSS)
    location /wss/ {
        proxy_pass http://localhost:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }
}

[Валера Карманов]

Данила, блин, че та не получается

server {
    listen                    %ip%:%httpport%;
    listen                    %ip%:%httpsport% ssl;
    server_name               %host% %aliases%;
    root                      '%hostdir%';
    #limit_conn               addr 64;
    autoindex                 off;
    index                     index.php index.html index.htm;

    ssl_certificate           '%sprogdir%/userdata/config/cert_files/%host%.crt';
    ssl_certificate_key       '%sprogdir%/userdata/config/cert_files/%host%.key';
    #ssl_trusted_certificate  '';

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location /wss/ {
        proxy_pass http://localhost:8080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }

    # Force HTTPS
    #if ($scheme ~* ^(?!https).*$) {
    #    return 301 https://$host$request_uri;
    #}

    # Force www.site.com => site.com
    #if ($host ~* ^www\.(.+)$) {
    #    return 301 $scheme://$1$request_uri;
    #}

    # Disable MIME sniffing
    add_header X-Content-Type-Options 'nosniff' always;

    # HSTS
    #add_header Strict-Transport-Security 'max-age=2592000' always;

    # Disable access to hidden files/folders
    location ~* /\.(?!well-known/) {
        deny all;
        log_not_found off;
        access_log off;
    }

    # Disable access to backup/config/command/log files
    location ~* (?:\.(?:bak|co?nf(ig)?|in[ci]|log|sh|sql|tar|t?gz)|~)$ {
        deny all;
    }

    location ~* ^.+\.(?:css(\.map)?|js(\.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv|svgz?|ttf|ttc|otf|eot|woff2?)$ {
        expires 1d;
        access_log off;
    }

    location / {
        # Force index.php routing (if not found)
        #try_files $uri $uri/ /index.php?$query_string;

        # Force index.php routing (all requests)
        #rewrite ^/(.*)$ /index.php?/$1 last;

        #limit_conn   addr 16;
        #limit_req    zone=flood        burst=32 nodelay;

        #add_header   X-Frame-Options   'SAMEORIGIN' always;
        #add_header   Referrer-Policy   'no-referrer-when-downgrade' always;

        # CSP syntax: <host-source> <scheme-source>(http: https: data: mediastream: blob: filesystem:) 'self' 'unsafe-inline' 'unsafe-eval' 'none'
        #add_header   Content-Security-Policy-Report-Only  "default-src 'self'; report-uri https://site.com/csp/" always;
        #add_header   Content-Security-Policy  "default-src 'self'; connect-src 'self'; font-src 'self'; frame-src 'self'; img-src 'self'; manifest-src 'self'; media-src 'self'; object-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; base-uri 'none'; form-action 'self'; frame-ancestors 'self'; upgrade-insecure-requests" always;

        proxy_http_version    1.1;
        proxy_set_header      Connection "";
        proxy_set_header      Host $host;
        proxy_set_header      X-Forwarded-For $http_x_forwarded_for;
        proxy_set_header      X-Forwarded-Proto $scheme;
        proxy_set_header      X-Real-IP $remote_addr;
        #proxy_set_header     X-Country-Code $geoip2_data_country_code;
        #proxy_set_header     X-Country-Name $geoip2_data_country_name;
        proxy_pass            http://%ips%:%httpbackport%/;
    }

    location ^~ /apacheicons/ {
        alias    %sprogdir%/modules/http/%httpdriver%/icons/;
    }

    location ^~ /apacheerror/ {
        alias    %sprogdir%/modules/http/%httpdriver%/error/;
    }

    # Service configuration (do not edit!)
    # ----------------------------
    location /openserver/ {
        root      '%sprogdir%/modules/system/html';
        autoindex off;
        index     index.php index.html index.htm;
        %allow%allow all;
        allow 127.0.0.0/8;
        allow ::1/128;
        allow %ips%;
        deny all;
        location ~* ^/openserver/.+\.(?:css(\.map)?|js(\.map)?|jpe?g|png|gif|ico|cur|heic|webp|webm|svgz?|ttf|ttc|otf|eot|woff2?)$ {
            expires 1d;
            access_log off;
        }
        location /openserver/server-status {
            stub_status on;
        }
        proxy_http_version    1.1;
        proxy_set_header      Connection "";
        proxy_set_header      Host $host;
        proxy_set_header      X-Forwarded-For $http_x_forwarded_for;
        proxy_set_header      X-Forwarded-Proto $scheme;
        proxy_set_header      X-Real-IP $remote_addr;
        proxy_pass            http://%ips%:%httpbackport%/openserver/;
    }
    # End service configuration
    # ----------------------------
}

$this->_debug('Start server');

$this->_socket = stream_socket_server('tcp://0.0.0.0:8080', $errno, $errstr);

if(false === $this->_socket)
{
    $this->_handleException($this->_socket);
    return;
}

while (true)
{
    $read = $this->_connections;
    array_push($read, $this->_socket);

    $write = $except = null;

    if (!stream_select($read, $write, $except, null))
    {
        break;
    }

    if (in_array($this->_socket, $read, true))
    {
        $this->_connectionSocket($read);
    }
}

[Данила]

Валера Карманов, что конкретно у вас не получается?

[Валера Карманов]

Данила, ошибка все та же, заголовки отправляются а в сокете их нет

[Данила]

Валера Карманов, попробуйте отключить буферизацию для location /wss/:
proxy_buffering off;

SSL сертификаты у вас корректно настроены?

[Валера Карманов]

Данила, сертификаты самоподписанные, но в браузере "Подключение защищено".
Заметил что раньше отправляя запрос на "/wss" возвращался ошибка 502, а сейчас запрос отправляется в index.php (т. е. обработка занимается CMS на сайте)

[Валера Карманов]

Данила, кажись получилось....

[Данила]

Валера Карманов, в чём было дело?

[Валера Карманов]

Данила, спасибо большое за помощь.

[Валера Карманов]

Данила,

stream_socket_server('tcp://127.0.0.1:7070', $errno, $errstr)

В настройках фикс указал "Upgrade websocket;", ну и порт поменял

location /wss {
    proxy_pass http://localhost:7070;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection "Upgrade";
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_buffering off;
}

[Данила]

Валера Карманов, была, кстати, мысль, что у вас просто конфликтуют порты из-за использования кмски. А я писал, чтобы вы шапки нужны поставили для передачи

[Валера Карманов]

Данила, можно ли настроить "location" на протокол wss?

[Данила]

Валера Карманов, в nginx нельзя

[Валера Карманов]

Данила, блин, вот отстой. и на том спасибо

Answer 2

[Drno]

по правильному реверс-прокси напускается на nginx, а не на apache2