在 Laravel 12 中实现 WebSocket 通信时进行身份验证

在 Laravel 12 中实现 WebSocket 通信时，若需在身份验证失败后主动断开客户端连接，需结合 频道认证机制 和 服务端主动断连操作。以下是具体实现步骤：

一、身份验证流程设计

WebSocket 连接的身份验证通常通过 私有频道（Private Channel） 或 存在频道（Presence Channel） 实现。以下是核心流程：

1. 客户端发起订阅请求：

   // 前端订阅私有频道
   Echo.private('chat.1').listen('NewMessage', (data) => { /* ... */ });
   

2. 服务端验证权限：
   • Laravel 自动触发 routes/channels.php 中的频道授权逻辑。
   • 若验证失败，返回 403 Forbidden，并触发断连操作。

二、实现身份验证失败断连

方案 1：使用 Laravel Reverb（官方方案）

Reverb 默认在频道认证失败时拒绝订阅，但不会主动断开连接。需通过以下方式强制断连：

1. 自定义认证中间件：

   • 创建中间件 VerifyWebSocketAuth：

     php artisan make:middleware VerifyWebSocketAuth
     

   • 编辑中间件逻辑：

     <?php
     namespace App\Http\Middleware;
     use Closure;
     use Illuminate\Support\Facades\Auth;class VerifyWebSocketAuth {public function handle($request, Closure $next) {if (!Auth::check()) { // 身份验证失败// 返回 403 并关闭连接abort(403, 'Unauthorized');}return $next($request);}
     }
     

2. 将中间件应用到广播路由：

   • 修改 app/Providers/BroadcastServiceProvider.php：

     public function boot() {Broadcast::routes(['middleware' => ['web', 'auth:api', VerifyWebSocketAuth::class]]);
     }
     

3. 前端处理断连：

   Echo.private('chat.1').listen('NewMessage', (data) => { /* ... */ }).error((error) => {console.error('连接被拒绝:', error);Echo.disconnect(); // 主动断开连接});
   

方案 2：使用 Soketi（Pusher 替代）

Soketi 作为 Pusher 协议兼容服务，可通过 自定义授权端点 实现强制断连：

1. 配置自定义授权端点：
   • 在 .env 中指定授权路由：

     PUSHER_APP_AUTHORIZER=http://your-app.test/broadcasting/auth
     

2. 自定义授权响应：
   • 在 routes/api.php 中定义严格认证逻辑：

     use Illuminate\Support\Facades\Broadcast;Broadcast::channel('chat.{userId}', function ($user, $userId) {if ($user->id !== (int) $userId) {// 返回 403 并附带断连指令return response()->json(['error' => 'Forbidden'], 403)->header('Connection', 'close');}return true;
     });
     

方案 3：使用 Workerman/Swoole（底层控制）

若需直接操作 WebSocket 连接，可通过 Workerman/Swoole 的底层 API 强制断连：

1. 保存客户端连接标识：
   • 在连接建立时记录客户端 ID（如 fd）：

     $worker->onConnect = function ($connection) {$connection->id = uniqid();Cache::put('ws_connections.' . $connection->id, $connection);
     };
     

2. 认证失败时主动断连：

   $worker->onMessage = function ($connection, $data) {$user = Auth::user();if (!$user) {// 发送错误消息并关闭连接$connection->send(json_encode(['error' => 'Unauthorized']));$connection->close();return;}// 正常处理消息
   };
   

三、生产环境优化

1. 日志记录：

   // 在中间件或事件中记录断连行为
   Log::warning('WebSocket 连接因认证失败被关闭', ['ip' => request()->ip(),'time' => now()
   ]);
   

2. 速率限制：
   • 在 app/Providers/RouteServiceProvider.php 中限制认证请求频率：

     RateLimiter::for('websocket-auth', function (Request $request) {return Limit::perMinute(30);
     });
     

四、完整示例代码

服务端（Laravel Reverb）

1. 频道授权文件 (routes/channels.php)：

   Broadcast::channel('chat.{userId}', function ($user, $userId) {if ($user->id !== (int) $userId) {// 抛出异常触发断连throw new \Exception('身份验证失败');}return true;
   });
   

2. 全局异常处理 (app/Exceptions/Handler.php)：

   public function register() {$this->renderable(function (\Exception $e, $request) {if ($e->getMessage() === '身份验证失败') {return response()->json(['error' => 'Forbidden'], 403)->header('Connection', 'close');}});
   }
   

客户端（Laravel Echo）

// 监听连接错误
Echo.connector.pusher.connection.bind('error', (error) => {if (error.status === 403) {Echo.disconnect();alert('身份验证失败，连接已关闭');}
});

五、关键注意事项

1. 协议兼容性：
   • 使用 wss:// 协议时确保 SSL 证书有效。
2. 连接状态同步：
   • 使用 Redis 或数据库跟踪在线用户状态。
3. 测试工具：
   • 使用 WebSocket King 或 Postman 手动测试断连逻辑。

通过以上方案，可以在 Laravel 12 中实现 WebSocket 通信时的严格身份验证，确保验证失败时主动断开连接，提升系统安全性。