WebSocket连接前必须刷新token,因握手是一次性HTTP请求且无自动重试机制;过期时需用refresh token换取新access token并更新缓存,再发起连接。
WebSocket 连接时 token 已过期,连接直接被拒绝
PHP 本身不原生维护 WebSocket 长连接,常见做法是用 curl 或 stream_socket_client() 发起 WebSocket 握手请求(如连接 WSS 服务),并在 Sec-WebSocket-Protocol 或请求头里带 Authorization: Bearer xxx。如果此时传入的 token 已过期,服务端通常会返回 401 Unauthorized 或在 WebSocket 协议升级阶段直接关闭连接(如发送 Connection: close),客户端收不到 101 Switching Protocols 响应,握手失败。
关键点在于:WebSocket 握手是一次性 HTTP 请求,没有“自动重试 + 刷新 token”机制。你得自己在发起连接前确保 token 有效。
- 不要等到
stream_socket_client()返回资源后再校验 token —— 此时连接已发起,失败只能重来 - 避免把 token 存在 PHP session 或文件里长期复用,尤其在多进程/多请求场景下易出现并发过期
- 若使用
reactphp/websocket-client等异步库,其connect()是非阻塞的,token 必须在调用前完成刷新并注入
PHP 中安全获取并刷新 token 的实操方式
不能靠前端传来的旧 token 直接连,得走后端可控的刷新流程。典型路径是:先用 refresh token 换新 access token,再用新 token 建连。
假设你的认证服务提供 /auth/refresh 接口(POST,Content-Type: application/json):
$refreshToken = $_SESSION['refresh_token'] ?? null;
if (!$refreshToken) {
throw new Exception('No refresh token available');
}
$ch = curl_init('https://api.example.com/auth/refresh');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode(['refresh_token' => $refreshToken]));
curl_setopt($ch, CURLOPT_HTTPHEADER, ['Content-Type: application/json']);
$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($httpCode !== 200) {
throw new Exception("Token refresh failed: {$httpCode}");
}
$data = json_decode($response, true);
$newToken = $data['access_token'] ?? null;
if (!$newToken) {
throw new Exception('No access_token in refresh response');
}
// 后续 WebSocket 握手请求头中使用它
$wsHeaders = [
"Authorization: Bearer {$newToken}",
"Sec-WebSocket-Version: 13",
"Sec-WebSocket-Key: " . base64_encode(random_bytes(16)),
];
- refresh token 必须保密存储(如加密存 DB 或 Redis,过期时间设为 7–30 天),不能明文放 session
- 刷新成功后,务必更新 session/缓存中的
access_token和expires_at时间戳,避免下次又用旧 token - 别在 WebSocket 连接过程中同步刷新 token —— 一旦连接已建立,token 过期不影响当前帧传输,但后续 ping/subscribe 等业务请求会失败
WebSocket 已连接状态下 token 过期怎么办
WebSocket 协议本身不定义 token 续期机制。服务端通常会在 ping 响应、或每次业务消息处理前校验 token。一旦过期,常见表现是:服务端主动发 close 帧(code 4001 或自定义),或后续 send() 操作无响应、超时。
这时 PHP 客户端(如基于 sockets 或 amphp/websocket)无法“热替换 token”,唯一可靠做法是:断开重连,并在重连前刷新 token。
- 监听 WebSocket 关闭事件(如
onClose回调),检查$code是否为 4001 / 4003 等语义化过期码 - 触发一次 token 刷新流程(同上),成功后再调用
reconnect()或新建 client 实例 - 加退避重连(如 1s → 2s → 4s),避免 token 刷新失败时无限循环
- 注意:不要在
onMessage里边收到错误响应边刷新 token 边重发消息 —— 顺序和状态容易错乱,应统一交由连接管理层处理
用 ReactPHP 或 Amp 时 token 管理的坑
异步 PHP 框架里,token 刷新是 Promise/Future 操作,容易因闭包捕获旧值、未 await 就建连而失效。
以 reactphp/websocket-client 为例,常见错误写法:
// ❌ 错误:$token 是连接前就固定的,不会随刷新更新
$client->connect("wss://api.example.com?token={$token}");
// ✅ 正确:在 connect() 的 Promise 链中动态注入新 token
$refreshedToken = yield $this->refreshToken(); // yield 等待刷新完成
yield $client->connect("wss://api.example.com", [], [
'headers' => ['Authorization' => "Bearer {$refreshedToken}"]
]);
-
Amp下必须用co()或await确保刷新完成,否则connect()可能拿到 null 或过期值 - 别把 token 存在类属性里供多个协程共享修改 —— 竞态下可能 A 刷新了、B 还拿着旧值去连
- 有些网关要求 token 放 query string(如
wss://…/ws?token=xxx),要注意 URL 编码,且该方式比 header 更易泄露、不推荐用于生产
token 刷新不是“连上了再换”,而是“换好了再连”。所有连接发起点都必须串行经过刷新逻辑,且刷新结果要严格绑定到当次连接上下文 —— 这一点在异步、长连接、多租户场景下最容易出问题。
