摘要:對于服務(wù)端來說���,緩存默認(rèn)是不能使用的�,可以通過調(diào)用函數(shù)來進(jìn)行設(shè)置生效。在回調(diào)函數(shù)中�����,首先申請一個(gè)大數(shù)數(shù)據(jù)結(jié)構(gòu)��,然后將其設(shè)定為���,該值表示公鑰指數(shù),然后利用函數(shù)生成秘鑰���。此時(shí)需要調(diào)用函數(shù)將新的連接與綁定����。
前言
上一篇文章我們講了 OpenSSL 的原理����,接下來,我們來說說如何利用 openssl 第三方庫進(jìn)行開發(fā)��,來為 tcp 層進(jìn)行 SSL 隧道加密
OpenSSL 初始化
在 swoole 中�,如果想要進(jìn)行 ssl 加密,只需要如下設(shè)置即可:
$serv = new swoole_server("0.0.0.0", 443, SWOOLE_PROCESS, SWOOLE_SOCK_TCP | SWOOLE_SSL);
$key_dir = dirname(dirname(__DIR__))."/tests/ssl";
$serv->set(array(
"worker_num" => 4,
"ssl_cert_file" => $key_dir."/ssl.crt",
"ssl_key_file" => $key_dir."/ssl.key",
));
_construct 構(gòu)造函數(shù)
我們先看看在構(gòu)造函數(shù)中 SWOOLE_SSL 起了什么作用:
REGISTER_LONG_CONSTANT("SWOOLE_SSL", SW_SOCK_SSL, CONST_CS | CONST_PERSISTENT);
PHP_METHOD(swoole_server, __construct)
{
char *serv_host;
long serv_port = 0;
long sock_type = SW_SOCK_TCP;
long serv_mode = SW_MODE_PROCESS;
...
if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|lll", &serv_host, &host_len, &serv_port, &serv_mode, &sock_type) == FAILURE)
{
swoole_php_fatal_error(E_ERROR, "invalid swoole_server parameters.");
return;
}
...
swListenPort *port = swServer_add_port(serv, sock_type, serv_host, serv_port);
....
}
#define SW_SSL_CIPHER_LIST "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"
#define SW_SSL_ECDH_CURVE "secp384r1"
swListenPort* swServer_add_port(swServer *serv, int type, char *host, int port)
{
...
swListenPort *ls = SwooleG.memory_pool->alloc(SwooleG.memory_pool, sizeof(swListenPort));
...
if (type & SW_SOCK_SSL)
{
type = type & (~SW_SOCK_SSL);
if (swSocket_is_stream(type))
{
ls->type = type;
ls->ssl = 1;
// #ifdef SW_USE_OPENSSL
ls->ssl_config.prefer_server_ciphers = 1;
ls->ssl_config.session_tickets = 0;
ls->ssl_config.stapling = 1;
ls->ssl_config.stapling_verify = 1;
ls->ssl_config.ciphers = sw_strdup(SW_SSL_CIPHER_LIST);
ls->ssl_config.ecdh_curve = sw_strdup(SW_SSL_ECDH_CURVE);
#endif
}
}
...
}
我們可以看到,初始化過程中���,會將常量 SWOOLE_SSL 轉(zhuǎn)化為 SW_SOCK_SSL�。然后調(diào)用 swServer_add_port 函數(shù)�����,在該函數(shù)中會設(shè)定很多用于 SSL 的參數(shù)��。
prefer_server_ciphers 加密套件偏向于服務(wù)端而不是客戶端��,也就是說會從服務(wù)端的加密套件從頭到尾依次查找最合適的���,而不是從客戶端提供的列表尋找�����。
session_tickets 初始化���,由于 SSL 握手的非對稱運(yùn)算無論是 RSA 還是 ECDHE,都會消耗性能�����,故為了提高性能,對于之前已經(jīng)進(jìn)行過握手的 SSL 連接��,盡可能減少握手 round time trip 以及運(yùn)算��。 SSL 提供 2 中不同的會話復(fù)用機(jī)制:
(1) session id 會話復(fù)用�。對于已經(jīng)建立的 SSL 會話,使用 session id 為 key(session id 來自第一次請求的 server hello 中的 session id 字段)�,主密鑰為 value 組成一對鍵值,保存在本地�,服務(wù)器和客戶端都保存一份。
當(dāng)?shù)诙挝帐謺r(shí)�����,客戶端若想使用會話復(fù)用�����,則發(fā)起的 client hello 中 session id 會置上對應(yīng)的值�����,服務(wù)器收到這個(gè) client hello�,解析 session id���,查找本地是否有該 session id�,如果有,判斷當(dāng)前的加密套件和上個(gè)會話的加密套件是否一致���,一致則允許使用會話復(fù)用�����,于是自己的 server hello 中 session id 也置上和 client hello 中一樣的值��。然后計(jì)算對稱秘鑰��,解析后續(xù)的操作���。
如果服務(wù)器未查到客戶端的 session id 指定的會話(可能是會話已經(jīng)老化),則會重新握手�,session id 要么重新計(jì)算(和 client hello 中 session id 不一樣),要么置成 0��,這兩個(gè)方式都會告訴客戶端這次會話不進(jìn)行會話復(fù)用����。
(2) session ticket 會話復(fù)用
Session id會話復(fù)用有2個(gè)缺點(diǎn),其一就是服務(wù)器會大量堆積會話����,特別是在實(shí)際使用時(shí)���,會話老化時(shí)間配置為數(shù)小時(shí),這種情況對服務(wù)器內(nèi)存占用非常高����。
其次,如果服務(wù)器是集群模式搭建�,那么客戶端和A各自保存的會話,在合B嘗試會話復(fù)用時(shí)會失?���。ó?dāng)然,你想用redis搭個(gè)集群存session id也行����,就是太麻煩)�����。
Session ticket的工作流程如下:
1:客戶端發(fā)起client hello�,拓展中帶上空的session ticket TLS,表明自己支持session ticket�。
2:服務(wù)器在握手過程中���,如果支持session ticket,則發(fā)送New session ticket類型的握手報(bào)文����,其中包含了能夠恢復(fù)包括主密鑰在內(nèi)的會話信息,當(dāng)然�����,最簡單的就是只發(fā)送master key���。為了讓中間人不可見����,這個(gè)session ticket部分會進(jìn)行編碼�、加密等操作。
3:客戶端收到這個(gè)session ticket���,就把當(dāng)前的master key和這個(gè)ticket組成一對鍵值保存起來��。服務(wù)器無需保存任何會話信息�����,客戶端也無需知道session ticket具體表示什么�����。
4:當(dāng)客戶端嘗試會話復(fù)用時(shí)�����,會在client hello的拓展中加上session ticket��,然后服務(wù)器收到session ticket��,回去進(jìn)行解密�����、解碼能相關(guān)操作���,來恢復(fù)會話信息���。如果能夠恢復(fù)會話信息�,那么久提取會話信息的主密鑰進(jìn)行后續(xù)的操作。
stapling 與 stapling_verify:
OCSP(Online Certificate Status Protocol�����,在線證書狀態(tài)協(xié)議)是用來檢驗(yàn)證書合法性的在線查詢服務(wù),一般由證書所屬 CA 提供��。假如服務(wù)端的私鑰被泄漏��,對應(yīng)的證書就會被加入黑名單�����,為了驗(yàn)證服務(wù)端的證書是否在黑名單中����,某些客戶端會在 TLS 握手階段進(jìn)一步協(xié)商時(shí),實(shí)時(shí)查詢 OCSP 接口����,并在獲得結(jié)果前阻塞后續(xù)流程。OCSP 查詢本質(zhì)是一次完整的 HTTP 請求 - 響應(yīng)��,這中間 DNS 查詢�����、建立 TCP�、服務(wù)端處理等環(huán)節(jié)都可能耗費(fèi)很長時(shí)間�����,導(dǎo)致最終建立 TLS 連接時(shí)間變得更長�。
而 OCSP Stapling(OCSP 封套)�����,是指服務(wù)端主動獲取 OCSP 查詢結(jié)果并隨著證書一起發(fā)送給客戶端�����,從而讓客戶端跳過自己去驗(yàn)證的過程�����,提高 TLS 握手效率��。
ciphers 秘鑰套件:默認(rèn)的加密套件是 "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"����,關(guān)于加密套件我們在上一章已經(jīng)講解完畢
ecdh_curve: 是 ECDH 算法所需要的橢圓加密參數(shù)。
到這里����,SSL 的初始化已經(jīng)完成���。
Set 設(shè)置 SSL 參數(shù)
PHP_METHOD(swoole_server, set)
{
zval *zset = NULL;
...
if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "z", &zset) == FAILURE)
{
return;
}
...
sw_zend_call_method_with_1_params(&port_object, swoole_server_port_class_entry_ptr, NULL, "set", &retval, zset);
}
static PHP_METHOD(swoole_server_port, set)
{
...
if (port->ssl)
{
if (php_swoole_array_get_value(vht, "ssl_cert_file", v))
{
convert_to_string(v);
if (access(Z_STRVAL_P(v), R_OK) < 0)
{
swoole_php_fatal_error(E_ERROR, "ssl cert file[%s] not found.", Z_STRVAL_P(v));
return;
}
if (port->ssl_option.cert_file)
{
sw_free(port->ssl_option.cert_file);
}
port->ssl_option.cert_file = sw_strdup(Z_STRVAL_P(v));
port->open_ssl_encrypt = 1;
}
if (php_swoole_array_get_value(vht, "ssl_key_file", v))
{
convert_to_string(v);
if (access(Z_STRVAL_P(v), R_OK) < 0)
{
swoole_php_fatal_error(E_ERROR, "ssl key file[%s] not found.", Z_STRVAL_P(v));
return;
}
if (port->ssl_option.key_file)
{
sw_free(port->ssl_option.key_file);
}
port->ssl_option.key_file = sw_strdup(Z_STRVAL_P(v));
}
if (php_swoole_array_get_value(vht, "ssl_method", v))
{
convert_to_long(v);
port->ssl_option.method = (int) Z_LVAL_P(v);
}
//verify client cert
if (php_swoole_array_get_value(vht, "ssl_client_cert_file", v))
{
convert_to_string(v);
if (access(Z_STRVAL_P(v), R_OK) < 0)
{
swoole_php_fatal_error(E_ERROR, "ssl cert file[%s] not found.", port->ssl_option.cert_file);
return;
}
if (port->ssl_option.client_cert_file)
{
sw_free(port->ssl_option.client_cert_file);
}
port->ssl_option.client_cert_file = sw_strdup(Z_STRVAL_P(v));
}
if (php_swoole_array_get_value(vht, "ssl_verify_depth", v))
{
convert_to_long(v);
port->ssl_option.verify_depth = (int) Z_LVAL_P(v);
}
if (php_swoole_array_get_value(vht, "ssl_prefer_server_ciphers", v))
{
convert_to_boolean(v);
port->ssl_config.prefer_server_ciphers = Z_BVAL_P(v);
}
if (php_swoole_array_get_value(vht, "ssl_ciphers", v))
{
convert_to_string(v);
if (port->ssl_config.ciphers)
{
sw_free(port->ssl_config.ciphers);
}
port->ssl_config.ciphers = sw_strdup(Z_STRVAL_P(v));
}
if (php_swoole_array_get_value(vht, "ssl_ecdh_curve", v))
{
convert_to_string(v);
if (port->ssl_config.ecdh_curve)
{
sw_free(port->ssl_config.ecdh_curve);
}
port->ssl_config.ecdh_curve = sw_strdup(Z_STRVAL_P(v));
}
if (php_swoole_array_get_value(vht, "ssl_dhparam", v))
{
convert_to_string(v);
if (port->ssl_config.dhparam)
{
sw_free(port->ssl_config.dhparam);
}
port->ssl_config.dhparam = sw_strdup(Z_STRVAL_P(v));
}
if (swPort_enable_ssl_encrypt(port) < 0)
{
swoole_php_fatal_error(E_ERROR, "swPort_enable_ssl_encrypt() failed.");
RETURN_FALSE;
}
}
...
}
這些 SSL 參數(shù)都是可以自定義設(shè)置的���,上面代碼最關(guān)鍵的是 swPort_enable_ssl_encrypt 函數(shù)��,該函數(shù)調(diào)用了 openssl 第三方庫進(jìn)行 ssl 上下文的初始化:
int swPort_enable_ssl_encrypt(swListenPort *ls)
{
if (ls->ssl_option.cert_file == NULL || ls->ssl_option.key_file == NULL)
{
swWarn("SSL error, require ssl_cert_file and ssl_key_file.");
return SW_ERR;
}
ls->ssl_context = swSSL_get_context(&ls->ssl_option);
if (ls->ssl_context == NULL)
{
swWarn("swSSL_get_context() error.");
return SW_ERR;
}
if (ls->ssl_option.client_cert_file
&& swSSL_set_client_certificate(ls->ssl_context, ls->ssl_option.client_cert_file,
ls->ssl_option.verify_depth) == SW_ERR)
{
swWarn("swSSL_set_client_certificate() error.");
return SW_ERR;
}
if (ls->open_http_protocol)
{
ls->ssl_config.http = 1;
}
if (ls->open_http2_protocol)
{
ls->ssl_config.http_v2 = 1;
swSSL_server_http_advise(ls->ssl_context, &ls->ssl_config);
}
if (swSSL_server_set_cipher(ls->ssl_context, &ls->ssl_config) < 0)
{
swWarn("swSSL_server_set_cipher() error.");
return SW_ERR;
}
return SW_OK;
}
swSSL_get_context
可以看到�����,上面最關(guān)鍵的函數(shù)就是 swSSL_get_context 函數(shù)��,該函數(shù)初始化 SSL 并構(gòu)建上下文環(huán)境的步驟為:
當(dāng) OpenSSL 版本大于 1.1.0 后�,SSL 簡化了初始化過程���,只需要調(diào)用 OPENSSL_init_ssl 函數(shù)即可����,在此之前必須手動調(diào)用 SSL_library_init(openssl 初始化)����、SSL_load_error_strings(加載錯(cuò)誤常量)、OpenSSL_add_all_algorithms (加載算法)
利用 swSSL_get_method 函數(shù)選擇不同版本的 SSL_METHOD。
利用 SSL_CTX_new 函數(shù)創(chuàng)建上下文
為服務(wù)器配置參數(shù)�����,關(guān)于這些參數(shù)可以參考官方文檔:List of SSL OP Flags����,其中很多配置對于最新版本來說,沒有任何影響��,僅僅作為兼容舊版本而保留�。
SSL 的 KEY 文件一般都是由對稱加密算法所加密,這時(shí)候就需要調(diào)用 SSL_CTX_set_default_passwd_cb 與 SSL_CTX_set_default_passwd_cb_userdata�,否則在啟動 swoole 的時(shí)候,就需要手動在命令行中輸入該密碼�。
接著就需要將私鑰文件和證書文件的路徑傳入 SSL,相應(yīng)的函數(shù)是 SSL_CTX_use_certificate_file ���、 SSL_CTX_use_certificate_chain_file 與 SSL_CTX_use_PrivateKey_file��,然后利用 SSL_CTX_check_private_key 來驗(yàn)證私鑰�。
void swSSL_init(void)
{
if (openssl_init)
{
return;
}
#if OPENSSL_VERSION_NUMBER >= 0x10100003L && !defined(LIBRESSL_VERSION_NUMBER)
OPENSSL_init_ssl(OPENSSL_INIT_LOAD_CONFIG, NULL);
#else
OPENSSL_config(NULL);
SSL_library_init();
SSL_load_error_strings();
OpenSSL_add_all_algorithms();
#endif
openssl_init = 1;
}
SSL_CTX* swSSL_get_context(swSSL_option *option)
{
if (!openssl_init)
{
swSSL_init();
}
SSL_CTX *ssl_context = SSL_CTX_new(swSSL_get_method(option->method));
if (ssl_context == NULL)
{
ERR_print_errors_fp(stderr);
return NULL;
}
SSL_CTX_set_options(ssl_context, SSL_OP_SSLREF2_REUSE_CERT_TYPE_BUG);
SSL_CTX_set_options(ssl_context, SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER);
SSL_CTX_set_options(ssl_context, SSL_OP_MSIE_SSLV2_RSA_PADDING);
SSL_CTX_set_options(ssl_context, SSL_OP_SSLEAY_080_CLIENT_DH_BUG);
SSL_CTX_set_options(ssl_context, SSL_OP_TLS_D5_BUG);
SSL_CTX_set_options(ssl_context, SSL_OP_TLS_BLOCK_PADDING_BUG);
SSL_CTX_set_options(ssl_context, SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS);
SSL_CTX_set_options(ssl_context, SSL_OP_SINGLE_DH_USE);
if (option->passphrase)
{
SSL_CTX_set_default_passwd_cb_userdata(ssl_context, option);
SSL_CTX_set_default_passwd_cb(ssl_context, swSSL_passwd_callback);
}
if (option->cert_file)
{
/*
* set the local certificate from CertFile
*/
if (SSL_CTX_use_certificate_file(ssl_context, option->cert_file, SSL_FILETYPE_PEM) <= 0)
{
ERR_print_errors_fp(stderr);
return NULL;
}
/*
* if the crt file have many certificate entry ,means certificate chain
* we need call this function
*/
if (SSL_CTX_use_certificate_chain_file(ssl_context, option->cert_file) <= 0)
{
ERR_print_errors_fp(stderr);
return NULL;
}
/*
* set the private key from KeyFile (may be the same as CertFile)
*/
if (SSL_CTX_use_PrivateKey_file(ssl_context, option->key_file, SSL_FILETYPE_PEM) <= 0)
{
ERR_print_errors_fp(stderr);
return NULL;
}
/*
* verify private key
*/
if (!SSL_CTX_check_private_key(ssl_context))
{
swWarn("Private key does not match the public certificate");
return NULL;
}
}
return ssl_context;
}
static int swSSL_passwd_callback(char *buf, int num, int verify, void *data)
{
swSSL_option *option = (swSSL_option *) data;
if (option->passphrase)
{
size_t len = strlen(option->passphrase);
if (len < num - 1)
{
memcpy(buf, option->passphrase, len + 1);
return (int) len;
}
}
return 0;
}
swSSL_get_method
我們來看看如何利用不同版本的 OpenSSL 選取不同的 SSL_METHOD�。swoole 默認(rèn)使用 SW_SSLv23_METHOD,該方法支持 SSLv2 與 SSLv3:
static const SSL_METHOD *swSSL_get_method(int method)
{
switch (method)
{
#ifndef OPENSSL_NO_SSL3_METHOD
case SW_SSLv3_METHOD:
return SSLv3_method();
case SW_SSLv3_SERVER_METHOD:
return SSLv3_server_method();
case SW_SSLv3_CLIENT_METHOD:
return SSLv3_client_method();
#endif
case SW_SSLv23_SERVER_METHOD:
return SSLv23_server_method();
case SW_SSLv23_CLIENT_METHOD:
return SSLv23_client_method();
/**
* openssl 1.1.0
*/
#if OPENSSL_VERSION_NUMBER < 0x10100000L
case SW_TLSv1_METHOD:
return TLSv1_method();
case SW_TLSv1_SERVER_METHOD:
return TLSv1_server_method();
case SW_TLSv1_CLIENT_METHOD:
return TLSv1_client_method();
#ifdef TLS1_1_VERSION
case SW_TLSv1_1_METHOD:
return TLSv1_1_method();
case SW_TLSv1_1_SERVER_METHOD:
return TLSv1_1_server_method();
case SW_TLSv1_1_CLIENT_METHOD:
return TLSv1_1_client_method();
#endif
#ifdef TLS1_2_VERSION
case SW_TLSv1_2_METHOD:
return TLSv1_2_method();
case SW_TLSv1_2_SERVER_METHOD:
return TLSv1_2_server_method();
case SW_TLSv1_2_CLIENT_METHOD:
return TLSv1_2_client_method();
#endif
case SW_DTLSv1_METHOD:
return DTLSv1_method();
case SW_DTLSv1_SERVER_METHOD:
return DTLSv1_server_method();
case SW_DTLSv1_CLIENT_METHOD:
return DTLSv1_client_method();
#endif
case SW_SSLv23_METHOD:
default:
return SSLv23_method();
}
return SSLv23_method();
}
雙向驗(yàn)證
swSSL_get_context 函數(shù)之后�����,如果使用了雙向驗(yàn)證,那么還需要
利用 SSL_CTX_set_verify 函數(shù)與 SSL_VERIFY_PEER 參數(shù)要求客戶端發(fā)送證書來進(jìn)行雙向驗(yàn)證
SSL_CTX_set_verify_depth 函數(shù)用于設(shè)置證書鏈的個(gè)數(shù)���,證書鏈不能多于該參數(shù)
SSL_CTX_load_verify_locations 用于加載可信任的 CA 證書���,注意這個(gè)并不是客戶端用于驗(yàn)證的證書�,而是用來設(shè)定服務(wù)端 可信任 的 CA 機(jī)構(gòu)
SSL_load_client_CA_file、SSL_CTX_set_client_CA_list 用于設(shè)置服務(wù)端可信任的 CA 證書的列表��,在握手過程中將會發(fā)送給客戶端�。:
int swSSL_set_client_certificate(SSL_CTX *ctx, char *cert_file, int depth)
{
STACK_OF(X509_NAME) *list;
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, swSSL_verify_callback);
SSL_CTX_set_verify_depth(ctx, depth);
if (SSL_CTX_load_verify_locations(ctx, cert_file, NULL) == 0)
{
swWarn("SSL_CTX_load_verify_locations("%s") failed.", cert_file);
return SW_ERR;
}
ERR_clear_error();
list = SSL_load_client_CA_file(cert_file);
if (list == NULL)
{
swWarn("SSL_load_client_CA_file("%s") failed.", cert_file);
return SW_ERR;
}
ERR_clear_error();
SSL_CTX_set_client_CA_list(ctx, list);
return SW_OK;
}
NPN/ALPN 協(xié)議支持
如果使用了 http2 協(xié)議,還要調(diào)用 swSSL_server_http_advise 函數(shù):
NPN 與 ALPN 都是為了支持 HTTP/2 而開發(fā)的 TLS 擴(kuò)展���,1.0.2 版本之后才開始支持 ALPN�����。當(dāng)客戶端進(jìn)行 SSL 握手的時(shí)候�����,客戶端和服務(wù)端之間會利用 NPN 協(xié)議或者 ALPN 來協(xié)商接下來到底使用 http/1.1 還是 http/2
兩者的區(qū)別:
NPN 是服務(wù)端發(fā)送所支持的 HTTP 協(xié)議列表����,由客戶端選擇;而 ALPN 是客戶端發(fā)送所支持的 HTTP 協(xié)議列表���,由服務(wù)端選擇���;
NPN 的協(xié)商結(jié)果是在 Change Cipher Spec 之后加密發(fā)送給服務(wù)端;而 ALPN 的協(xié)商結(jié)果是通過 Server Hello 明文發(fā)給客戶端���;
如果 openssl 僅僅支持 NPN 的時(shí)候���,調(diào)用 SSL_CTX_set_next_protos_advertised_cb,否則調(diào)用 SSL_CTX_set_alpn_select_cb
SSL_CTX_set_next_protos_advertised_cb 函數(shù)中注冊了 swSSL_npn_advertised 函數(shù)��,該函數(shù)返回了 SW_SSL_HTTP2_NPN_ADVERTISE SW_SSL_NPN_ADVERTISE
SSL_CTX_set_alpn_select_cb 函數(shù)中注冊了 swSSL_alpn_advertised 函數(shù)�,該函數(shù)會繼續(xù)調(diào)用 SSL_select_next_proto 來和客戶端進(jìn)行協(xié)商。
void swSSL_server_http_advise(SSL_CTX* ssl_context, swSSL_config *cfg)
{
#ifdef TLSEXT_TYPE_application_layer_protocol_negotiation
SSL_CTX_set_alpn_select_cb(ssl_context, swSSL_alpn_advertised, cfg);
#endif
#ifdef TLSEXT_TYPE_next_proto_neg
SSL_CTX_set_next_protos_advertised_cb(ssl_context, swSSL_npn_advertised, cfg);
#endif
if (cfg->http)
{
SSL_CTX_set_session_id_context(ssl_context, (const unsigned char *) "HTTP", strlen("HTTP"));
SSL_CTX_set_session_cache_mode(ssl_context, SSL_SESS_CACHE_SERVER);
SSL_CTX_sess_set_cache_size(ssl_context, 1);
}
}
#define SW_SSL_NPN_ADVERTISE "x08http/1.1"
#define SW_SSL_HTTP2_NPN_ADVERTISE "x02h2"
#ifdef TLSEXT_TYPE_application_layer_protocol_negotiation
static int swSSL_alpn_advertised(SSL *ssl, const uchar **out, uchar *outlen, const uchar *in, uint32_t inlen, void *arg)
{
unsigned int srvlen;
unsigned char *srv;
#ifdef SW_USE_HTTP2
swSSL_config *cfg = arg;
if (cfg->http_v2)
{
srv = (unsigned char *) SW_SSL_HTTP2_NPN_ADVERTISE SW_SSL_NPN_ADVERTISE;
srvlen = sizeof (SW_SSL_HTTP2_NPN_ADVERTISE SW_SSL_NPN_ADVERTISE) - 1;
}
else
#endif
{
srv = (unsigned char *) SW_SSL_NPN_ADVERTISE;
srvlen = sizeof (SW_SSL_NPN_ADVERTISE) - 1;
}
if (SSL_select_next_proto((unsigned char **) out, outlen, srv, srvlen, in, inlen) != OPENSSL_NPN_NEGOTIATED)
{
return SSL_TLSEXT_ERR_NOACK;
}
return SSL_TLSEXT_ERR_OK;
}
#endif
#ifdef TLSEXT_TYPE_next_proto_neg
static int swSSL_npn_advertised(SSL *ssl, const uchar **out, uint32_t *outlen, void *arg)
{
#ifdef SW_USE_HTTP2
swSSL_config *cfg = arg;
if (cfg->http_v2)
{
*out = (uchar *) SW_SSL_HTTP2_NPN_ADVERTISE SW_SSL_NPN_ADVERTISE;
*outlen = sizeof (SW_SSL_HTTP2_NPN_ADVERTISE SW_SSL_NPN_ADVERTISE) - 1;
}
else
#endif
{
*out = (uchar *) SW_SSL_NPN_ADVERTISE;
*outlen = sizeof(SW_SSL_NPN_ADVERTISE) - 1;
}
return SSL_TLSEXT_ERR_OK;
}
#endif
session 會話重用
所有的 session 必須都要有 session ID 上下文���。對于服務(wù)端來說��,session 緩存默認(rèn)是不能使用的��,可以通過調(diào)用 SSL_CTX_set_session_id_context 函數(shù)來進(jìn)行設(shè)置生效��。產(chǎn)生 session ID 上下文的目的是保證重用的 session 的使用目的與 session 創(chuàng)建時(shí)的使用目的是一致的���。比如��,在 SSL web 服務(wù)器中產(chǎn)生的 session 不能自動地在 SSL FTP 服務(wù)中使用�。于此同時(shí)���,我們可以使用 session ID 上下文來實(shí)現(xiàn)對我們的應(yīng)用的更加細(xì)粒度的控制�。比如�,認(rèn)證后的客戶端應(yīng)該與沒有進(jìn)行認(rèn)證的客戶端有著不同的 session ID 上下文���。上下文的內(nèi)容我們可以任意選擇���。正是通過函數(shù) SSL_CTX_set_session_id_context 函數(shù)來設(shè)置上下文的,上下文的數(shù)據(jù)時(shí)第二個(gè)參數(shù)�����,第三個(gè)參數(shù)是數(shù)據(jù)的長度��。
在設(shè)置了 session ID 上下文后���,服務(wù)端就開啟了 session緩存�����;但是我們的配置還沒有完成�����。Session 有一個(gè)限定的生存期����。在 OpenSSL 中的默認(rèn)值是 300 秒。如果我們需要改變這個(gè)生存期����,使用函數(shù) SSL_CTX_set_timeout。盡管服務(wù)端默認(rèn)地會自動地清除過期的 session����,我們?nèi)匀豢梢允謩拥卣{(diào)用SSL_CTX_flush_sessions 來進(jìn)行清理。比如,當(dāng)我們關(guān)閉自動清理過期 session 的時(shí)候,就需要手動進(jìn)行了�����。
一個(gè)很重要的函數(shù):SSL_CTX_set_session_cache_mode�����,它允許我們改變對相關(guān)緩存的行為�����。與 OpenSSL 中其它的模式設(shè)置函數(shù)一樣�,模式使用一些標(biāo)志的邏輯或來進(jìn)行設(shè)置�。其中一個(gè)標(biāo)志是 SSL_SESS_CACHE_NO_AUTO_CLEAR,它關(guān)閉自動清理過期 session 的功能���。這樣有利于服務(wù)端更加高效嚴(yán)謹(jǐn)?shù)剡M(jìn)行處理��,因?yàn)槟J(rèn)的行為可能會有意想不到的延遲;
SSL_CTX_set_session_id_context(ssl_context, (const unsigned char *) "HTTP", strlen("HTTP"));
SSL_CTX_set_session_cache_mode(ssl_context, SSL_SESS_CACHE_SERVER);
SSL_CTX_sess_set_cache_size(ssl_context, 1);
加密套件的使用
加密套件的使用主要是使用 SSL_CTX_set_cipher_list 函數(shù)���,此外如果需要 RSA 算法�����,還需要 SSL_CTX_set_tmp_rsa_callback 函數(shù)注冊 RSA 秘鑰的生成回調(diào)函數(shù) swSSL_rsa_key_callback����。
在回調(diào)函數(shù) swSSL_rsa_key_callback 中,首先申請一個(gè)大數(shù)數(shù)據(jù)結(jié)構(gòu) BN_new�����,然后將其設(shè)定為 RSA_F4���,該值表示公鑰指數(shù) e���,然后利用 RSA_generate_key_ex 函數(shù)生成秘鑰。RSAPublicKey_dup 函數(shù)和 RSAPrivateKey_dup 函數(shù)可以提取公鑰與私鑰�����。
int swSSL_server_set_cipher(SSL_CTX* ssl_context, swSSL_config *cfg)
{
#ifndef TLS1_2_VERSION
return SW_OK;
#endif
SSL_CTX_set_read_ahead(ssl_context, 1);
if (strlen(cfg->ciphers) > 0)
{
if (SSL_CTX_set_cipher_list(ssl_context, cfg->ciphers) == 0)
{
swWarn("SSL_CTX_set_cipher_list("%s") failed", cfg->ciphers);
return SW_ERR;
}
if (cfg->prefer_server_ciphers)
{
SSL_CTX_set_options(ssl_context, SSL_OP_CIPHER_SERVER_PREFERENCE);
}
}
#ifndef OPENSSL_NO_RSA
SSL_CTX_set_tmp_rsa_callback(ssl_context, swSSL_rsa_key_callback);
#endif
if (cfg->dhparam && strlen(cfg->dhparam) > 0)
{
swSSL_set_dhparam(ssl_context, cfg->dhparam);
}
#if OPENSSL_VERSION_NUMBER < 0x10100000L
else
{
swSSL_set_default_dhparam(ssl_context);
}
#endif
if (cfg->ecdh_curve && strlen(cfg->ecdh_curve) > 0)
{
swSSL_set_ecdh_curve(ssl_context);
}
return SW_OK;
}
#ifndef OPENSSL_NO_RSA
static RSA* swSSL_rsa_key_callback(SSL *ssl, int is_export, int key_length)
{
static RSA *rsa_tmp = NULL;
if (rsa_tmp)
{
return rsa_tmp;
}
BIGNUM *bn = BN_new();
if (bn == NULL)
{
swWarn("allocation error generating RSA key.");
return NULL;
}
if (!BN_set_word(bn, RSA_F4) || ((rsa_tmp = RSA_new()) == NULL)
|| !RSA_generate_key_ex(rsa_tmp, key_length, bn, NULL))
{
if (rsa_tmp)
{
RSA_free(rsa_tmp);
}
rsa_tmp = NULL;
}
BN_free(bn);
return rsa_tmp;
}
#endif
到此�����,ssl 的上下文終于設(shè)置完畢����,set 函數(shù)配置完成。
OpenSSL 端口的監(jiān)聽與接收
當(dāng)監(jiān)聽的端口被觸發(fā)連接后��,reactor 事件會調(diào)用 swServer_master_onAccept 函數(shù)��,進(jìn)而調(diào)用 accept 函數(shù),建立新的連接���,生成新的文件描述符 new_fd����。
此時(shí)需要調(diào)用 swSSL_create 函數(shù)將新的連接與 SSL 綁定�。
在 swSSL_create 函數(shù)中,SSL_new 函數(shù)根據(jù) ssl_context 創(chuàng)建新的 SSL 對象��,利用 SSL_set_fd 綁定 SSL���,SSL_set_accept_state 函數(shù)對 SSL 進(jìn)行連接初始化�。
int swServer_master_onAccept(swReactor *reactor, swEvent *event)
{
...
new_fd = accept(event->fd, (struct sockaddr *) &client_addr, &client_addrlen);
...
swConnection *conn = swServer_connection_new(serv, listen_host, new_fd, event->fd, reactor_id);
...
if (listen_host->ssl)
{
if (swSSL_create(conn, listen_host->ssl_context, 0) < 0)
{
bzero(conn, sizeof(swConnection));
close(new_fd);
return SW_OK;
}
}
else
{
conn->ssl = NULL;
}
...
}
int swSSL_create(swConnection *conn, SSL_CTX* ssl_context, int flags)
{
SSL *ssl = SSL_new(ssl_context);
if (ssl == NULL)
{
swWarn("SSL_new() failed.");
return SW_ERR;
}
if (!SSL_set_fd(ssl, conn->fd))
{
long err = ERR_get_error();
swWarn("SSL_set_fd() failed. Error: %s[%ld]", ERR_reason_error_string(err), err);
return SW_ERR;
}
if (flags & SW_SSL_CLIENT)
{
SSL_set_connect_state(ssl);
}
else
{
SSL_set_accept_state(ssl);
}
conn->ssl = ssl;
conn->ssl_state = 0;
return SW_OK;
}
OpenSSL 套接字可寫
套接字寫就緒有以下幾種情況:
套接字在建立連接之后�����,只設(shè)置了監(jiān)聽寫就緒���,這時(shí)對于 OpenSSL 來說不需要任何處理,轉(zhuǎn)為監(jiān)聽讀就緒即可����。
static int swReactorThread_onWrite(swReactor *reactor, swEvent *ev)
{
...
if (conn->connect_notify)
{
conn->connect_notify = 0;
if (conn->ssl)
{
goto listen_read_event;
}
...
listen_read_event:
return reactor->set(reactor, fd, SW_EVENT_TCP | SW_EVENT_READ);
}
else if (conn->close_notify)
{
if (conn->ssl && conn->ssl_state != SW_SSL_STATE_READY)
{
return swReactorThread_close(reactor, fd);
}
}
...
_pop_chunk: while (!swBuffer_empty(conn->out_buffer))
{
...
ret = swConnection_buffer_send(conn);
...
}
}
套接字可寫入數(shù)據(jù)時(shí)�����,會調(diào)用 swConnection_buffer_send 寫入數(shù)據(jù)��,進(jìn)而調(diào)用 swSSL_send���、SSL_write。SSL_write 發(fā)生錯(cuò)誤之后�����,函數(shù)會返回 SSL_ERROR_WANT_READ����、SSL_ERROR_WANT_WRITE 等函數(shù),這時(shí)需要將 errno 設(shè)置為 EAGAIN��,再次調(diào)用即可�。
int swConnection_buffer_send(swConnection *conn)
{
...
ret = swConnection_send(conn, chunk->store.ptr + chunk->offset, sendn, 0);
...
}
static sw_inline ssize_t swConnection_send(swConnection *conn, void *__buf, size_t __n, int __flags)
{
...
_send:
if (conn->ssl)
{
retval = swSSL_send(conn, __buf, __n);
}
if (retval < 0 && errno == EINTR)
{
goto _send;
}
else
{
goto _return;
}
_return:
return retval;
...
}
ssize_t swSSL_send(swConnection *conn, void *__buf, size_t __n)
{
int n = SSL_write(conn->ssl, __buf, __n);
if (n < 0)
{
int _errno = SSL_get_error(conn->ssl, n);
switch (_errno)
{
case SSL_ERROR_WANT_READ:
conn->ssl_want_read = 1;
errno = EAGAIN;
return SW_ERR;
case SSL_ERROR_WANT_WRITE:
conn->ssl_want_write = 1;
errno = EAGAIN;
return SW_ERR;
case SSL_ERROR_SYSCALL:
return SW_ERR;
case SSL_ERROR_SSL:
swSSL_connection_error(conn);
errno = SW_ERROR_SSL_BAD_CLIENT;
return SW_ERR;
default:
break;
}
}
return n;
}
套接字已關(guān)閉。這時(shí)調(diào)用 swReactorThread_close���,進(jìn)而調(diào)用 swSSL_close�。
在該函數(shù)中,首先要利用 SSL_in_init 來判斷當(dāng)前 SSL 是否處于初始化握手階段����,如果初始化還未完成,不能調(diào)用 shutdown 函數(shù)�����,應(yīng)該使用 SSL_free 來銷毀 SSL 通道��。
在調(diào)用 SSL_shutdown 關(guān)閉通道之前�����,還需要調(diào)用 SSL_set_quiet_shutdown 設(shè)置靜默關(guān)閉選項(xiàng)����,此時(shí)關(guān)閉通道并不會通知對端連接已經(jīng)關(guān)閉。并利用 SSL_set_shutdown 關(guān)閉讀和寫���。
如果返回的數(shù)據(jù)并不是 1�,說明關(guān)閉通道的時(shí)候發(fā)生了錯(cuò)誤�。
int swReactorThread_close(swReactor *reactor, int fd)
{
...
if (conn->ssl)
{
swSSL_close(conn);
}
...
}
void swSSL_close(swConnection *conn)
{
int n, sslerr, err;
if (SSL_in_init(conn->ssl))
{
/*
* OpenSSL 1.0.2f complains if SSL_shutdown() is called during
* an SSL handshake, while previous versions always return 0.
* Avoid calling SSL_shutdown() if handshake wasn"t completed.
*/
SSL_free(conn->ssl);
conn->ssl = NULL;
return;
}
SSL_set_quiet_shutdown(conn->ssl, 1);
SSL_set_shutdown(conn->ssl, SSL_RECEIVED_SHUTDOWN | SSL_SENT_SHUTDOWN);
n = SSL_shutdown(conn->ssl);
swTrace("SSL_shutdown: %d", n);
sslerr = 0;
/* before 0.9.8m SSL_shutdown() returned 0 instead of -1 on errors */
if (n != 1 && ERR_peek_error())
{
sslerr = SSL_get_error(conn->ssl, n);
swTrace("SSL_get_error: %d", sslerr);
}
if (!(n == 1 || sslerr == 0 || sslerr == SSL_ERROR_ZERO_RETURN))
{
err = (sslerr == SSL_ERROR_SYSCALL) ? errno : 0;
swWarn("SSL_shutdown() failed. Error: %d:%d.", sslerr, err);
}
SSL_free(conn->ssl);
conn->ssl = NULL;
}
OpenSSL 讀就緒
當(dāng) OpenSSL 讀就緒的時(shí)候也是有以下幾個(gè)情況:
連接剛剛建立,由 swReactorThread_onWrite 轉(zhuǎn)調(diào)過來���。此時(shí)需要驗(yàn)證 SSL 當(dāng)前狀態(tài)��。
static int swReactorThread_onRead(swReactor *reactor, swEvent *event)
{
if (swReactorThread_verify_ssl_state(reactor, port, event->socket) < 0)
{
return swReactorThread_close(reactor, event->fd);
...
return port->onRead(reactor, port, event);
}
}
swReactorThread_verify_ssl_state 函數(shù)用于驗(yàn)證 SSL 當(dāng)前的狀態(tài)���,如果當(dāng)前狀態(tài)僅僅是套接字綁定,還沒有進(jìn)行握手(conn->ssl_state == 0)��,那么就要調(diào)用 swSSL_accept 函數(shù)進(jìn)行握手��,握手之后 conn->ssl_state = SW_SSL_STATE_READY�。
握手之后有三種情況,一是握手成功�,此時(shí)設(shè)置 ssl_state 狀態(tài),低版本 ssl 設(shè)定 SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS 標(biāo)志��,禁用會話重協(xié)商�,然后返回 SW_READY;二是握手暫時(shí)不可用�,需要返回 SW_WAIT,等待下次讀就緒再次握手�;三是握手失敗,返回 SW_ERROR���,調(diào)用 swReactorThread_close 關(guān)閉套接字���。
握手成功之后��,要向 worker 進(jìn)程發(fā)送連接成功的任務(wù)����,進(jìn)而調(diào)用 onConnection 回調(diào)函數(shù)��。
static sw_inline int swReactorThread_verify_ssl_state(swReactor *reactor, swListenPort *port, swConnection *conn)
{
swServer *serv = reactor->ptr;
if (conn->ssl_state == 0 && conn->ssl)
{
int ret = swSSL_accept(conn);
if (ret == SW_READY)
{
if (port->ssl_option.client_cert_file)
{
swDispatchData task;
ret = swSSL_get_client_certificate(conn->ssl, task.data.data, sizeof(task.data.data));
if (ret < 0)
{
goto no_client_cert;
}
else
{
swFactory *factory = &SwooleG.serv->factory;
task.target_worker_id = -1;
task.data.info.fd = conn->fd;
task.data.info.type = SW_EVENT_CONNECT;
task.data.info.from_id = conn->from_id;
task.data.info.len = ret;
factory->dispatch(factory, &task);
goto delay_receive;
}
}
no_client_cert:
if (SwooleG.serv->onConnect)
{
swServer_tcp_notify(SwooleG.serv, conn, SW_EVENT_CONNECT);
}
delay_receive:
if (serv->enable_delay_receive)
{
conn->listen_wait = 1;
return reactor->del(reactor, conn->fd);
}
return SW_OK;
}
else if (ret == SW_WAIT)
{
return SW_OK;
}
else
{
return SW_ERR;
}
}
return SW_OK;
}
int swSSL_accept(swConnection *conn)
{
int n = SSL_do_handshake(conn->ssl);
/**
* The TLS/SSL handshake was successfully completed
*/
if (n == 1)
{
conn->ssl_state = SW_SSL_STATE_READY;
#if OPENSSL_VERSION_NUMBER < 0x10100000L
#ifdef SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS
if (conn->ssl->s3)
{
conn->ssl->s3->flags |= SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS;
}
#endif
#endif
return SW_READY;
}
/**
* The TLS/SSL handshake was not successful but was shutdown.
*/
else if (n == 0)
{
return SW_ERROR;
}
long err = SSL_get_error(conn->ssl, n);
if (err == SSL_ERROR_WANT_READ)
{
return SW_WAIT;
}
else if (err == SSL_ERROR_WANT_WRITE)
{
return SW_WAIT;
}
else if (err == SSL_ERROR_SSL)
{
swWarn("bad SSL client[%s:%d].", swConnection_get_ip(conn), swConnection_get_port(conn));
return SW_ERROR;
}
//EOF was observed
else if (err == SSL_ERROR_SYSCALL && n == 0)
{
return SW_ERROR;
}
swWarn("SSL_do_handshake() failed. Error: %s[%ld|%d].", strerror(errno), err, errno);
return SW_ERROR;
}
握手成功之后�����,如果設(shè)置了雙向加密�����,還要調(diào)用 swSSL_get_client_certificate 函數(shù)獲取客戶端的證書文件���,然后將證書文件發(fā)送給 worker 進(jìn)程��。
swSSL_get_client_certificate 函數(shù)中首先利用 SSL_get_peer_certificate 來獲取客戶端的證書�����,然后利用 PEM_write_bio_X509 將證書與 BIO 對象綁定����,最后利用 BIO_read 函數(shù)將證書寫到內(nèi)存中。
int swSSL_get_client_certificate(SSL *ssl, char *buffer, size_t length)
{
long len;
BIO *bio;
X509 *cert;
cert = SSL_get_peer_certificate(ssl);
if (cert == NULL)
{
return SW_ERR;
}
bio = BIO_new(BIO_s_mem());
if (bio == NULL)
{
swWarn("BIO_new() failed.");
X509_free(cert);
return SW_ERR;
}
if (PEM_write_bio_X509(bio, cert) == 0)
{
swWarn("PEM_write_bio_X509() failed.");
goto failed;
}
len = BIO_pending(bio);
if (len < 0 && len > length)
{
swWarn("certificate length[%ld] is too big.", len);
goto failed;
}
int n = BIO_read(bio, buffer, len);
BIO_free(bio);
X509_free(cert);
return n;
failed:
BIO_free(bio);
X509_free(cert);
return SW_ERR;
}
在 worker 進(jìn)程����,接到了 SW_EVENT_CONNECT 事件之后�,會把證書文件存儲在 ssl_client_cert.str 中。當(dāng)連接關(guān)閉時(shí)�,會釋放 ssl_client_cert.str 內(nèi)存。值得注意的是���,此時(shí)驗(yàn)證連接有效的函數(shù)是 swServer_connection_verify_no_ssl��。此函數(shù)不會驗(yàn)證 SSL 此時(shí)的狀態(tài)�����,只會驗(yàn)證連接與 session 的有效性�。
int swWorker_onTask(swFactory *factory, swEventData *task)
{
...
switch (task->info.type)
{
...
case SW_EVENT_CLOSE:
#ifdef SW_USE_OPENSSL
conn = swServer_connection_verify_no_ssl(serv, task->info.fd);
if (conn && conn->ssl_client_cert.length > 0)
{
sw_free(conn->ssl_client_cert.str);
bzero(&conn->ssl_client_cert, sizeof(conn->ssl_client_cert.str));
}
#endif
factory->end(factory, task->info.fd);
break;
case SW_EVENT_CONNECT:
#ifdef SW_USE_OPENSSL
//SSL client certificate
if (task->info.len > 0)
{
conn = swServer_connection_verify_no_ssl(serv, task->info.fd);
conn->ssl_client_cert.str = sw_strndup(task->data, task->info.len);
conn->ssl_client_cert.size = conn->ssl_client_cert.length = task->info.len;
}
#endif
if (serv->onConnect)
{
serv->onConnect(serv, &task->info);
}
break;
...
}
}
static sw_inline swConnection *swServer_connection_verify_no_ssl(swServer *serv, uint32_t session_id)
{
swSession *session = swServer_get_session(serv, session_id);
int fd = session->fd;
swConnection *conn = swServer_connection_get(serv, fd);
if (!conn || conn->active == 0)
{
return NULL;
}
if (session->id != session_id || conn->session_id != session_id)
{
return NULL;
}
return conn;
}
當(dāng)連接建立之后�,就要通過 SSL 加密隧道讀取數(shù)據(jù),最基礎(chǔ)簡單的接受函數(shù)是 swPort_onRead_raw 函數(shù)���,該函數(shù)會最終調(diào)用 swSSL_recv 函數(shù)����,與 SSL_write 類似,SSL_read 會自動從 ssl 中讀取加密數(shù)據(jù)�,并將解密后的數(shù)據(jù)存儲起來,等待發(fā)送給 worker 進(jìn)程��,進(jìn)行具體的邏輯���。
static int swPort_onRead_raw(swReactor *reactor, swListenPort *port, swEvent *event)
{
n = swConnection_recv(conn, task.data.data, SW_BUFFER_SIZE, 0);
}
static sw_inline ssize_t swConnection_recv(swConnection *conn, void *__buf, size_t __n, int __flags)
{
_recv:
if (conn->ssl)
{
ssize_t ret = 0;
size_t n_received = 0;
while (n_received < __n)
{
ret = swSSL_recv(conn, ((char*)__buf) + n_received, __n - n_received);
if (__flags & MSG_WAITALL)
{
if (ret <= 0)
{
retval = ret;
goto _return;
}
else
{
n_received += ret;
}
}
else
{
retval = ret;
goto _return;
}
}
retval = n_received;
}
if (retval < 0 && errno == EINTR)
{
goto _recv;
}
else
{
goto _return;
}
_return:
return retval;
}
ssize_t swSSL_recv(swConnection *conn, void *__buf, size_t __n)
{
int n = SSL_read(conn->ssl, __buf, __n);
if (n < 0)
{
int _errno = SSL_get_error(conn->ssl, n);
switch (_errno)
{
case SSL_ERROR_WANT_READ:
conn->ssl_want_read = 1;
errno = EAGAIN;
return SW_ERR;
case SSL_ERROR_WANT_WRITE:
conn->ssl_want_write = 1;
errno = EAGAIN;
return SW_ERR;
case SSL_ERROR_SYSCALL:
return SW_ERR;
case SSL_ERROR_SSL:
swSSL_connection_error(conn);
errno = SW_ERROR_SSL_BAD_CLIENT;
return SW_ERR;
default:
break;
}
}
return n;
}
相應(yīng)的��,worker 進(jìn)程在接受到數(shù)據(jù)之后��,要通過 swServer_connection_verify 函數(shù)驗(yàn)證 SSL 連接的狀態(tài)�,如果發(fā)送數(shù)據(jù)的連接狀態(tài)并不是 SW_SSL_STATE_READY��,就會拋棄數(shù)據(jù)���。
int swWorker_onTask(swFactory *factory, swEventData *task)
{
...
switch (task->info.type)
{
case SW_EVENT_TCP:
//ringbuffer shm package
case SW_EVENT_PACKAGE:
//discard data
if (swWorker_discard_data(serv, task) == SW_TRUE)
{
break;
}
...
//chunk package
case SW_EVENT_PACKAGE_START:
case SW_EVENT_PACKAGE_END:
//discard data
if (swWorker_discard_data(serv, task) == SW_TRUE)
{
break;
}
package = swWorker_get_buffer(serv, task->info.from_id);
if (task->info.len > 0)
{
//merge data to package buffer
swString_append_ptr(package, task->data, task->info.len);
}
//package end
if (task->info.type == SW_EVENT_PACKAGE_END)
{
goto do_task;
}
break;
...
}
}
static sw_inline int swWorker_discard_data(swServer *serv, swEventData *task)
{
swConnection *conn = swServer_connection_verify(serv, session_id);
...
}
static sw_inline swConnection *swServer_connection_verify(swServer *serv, int session_id)
{
swConnection *conn = swServer_connection_verify_no_ssl(serv, session_id);
#ifdef SW_USE_OPENSSL
if (!conn)
{
return NULL;
}
if (conn->ssl && conn->ssl_state != SW_SSL_STATE_READY)
{
swoole_error_log(SW_LOG_NOTICE, SW_ERROR_SSL_NOT_READY, "SSL not ready");
return NULL;
}
#endif
return conn;
}
