php连接websockettoken过期咋办_php连接websockettoken刷新【方案】

WebSocket连接前必须刷新token，因握手是一次性HTTP请求且无自动重试机制；过期时需用refresh token换取新access token并更新缓存，再发起连接。

WebSocket 连接时 token 已过期，连接直接被拒绝

PHP 本身不原生维护 WebSocket 长连接，常见做法是用 curl 或 stream_socket_client() 发起 WebSocket 握手请求（如连接 WSS 服务），并在 Sec-WebSocket-Protocol 或请求头里带 Authorization: Bearer xxx。如果此时传入的 token 已过期，服务端通常会返回 401 Unauthorized 或在 WebSocket 协议升级阶段直接关闭连接（如发送 Connection: close），客户端收不到 101 Switching Protocols 响应，握手失败。

关键点在于：WebSocket 握手是一次性 HTTP 请求，没有“自动重试 + 刷新 token”机制。你得自己在发起连接前确保 token 有效。

• 不要等到 stream_socket_client() 返回资源后再校验 token —— 此时连接已发起，失败只能重来
• 避免把 token 存在 PHP session 或文件里长期复用，尤其在多进程/多请求场景下易出现并发过期
• 若使用 reactphp/websocket-client 等异步库，其 connect() 是非阻塞的，token 必须在调用前完成刷新并注入

PHP 中安全获取并刷新 token 的实操方式

不能靠前端传来的旧 token 直接连，得走后端可控的刷新流程。典型路径是：先用 refresh token 换新 access token，再用新 token 建连。

假设你的认证服务提供 /auth/refresh 接口（POST，Content-Type: application/json）：

$refreshToken = $_SESSION['refresh_token'] ?? null;
if (!$refreshToken) {
    throw new Exception('No refresh token available');
}

$ch = curl_init('https://api.example.com/auth/refresh');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode(['refresh_token' => $refreshToken]));
curl_setopt($ch, CURLOPT_HTTPHEADER, ['Content-Type: application/json']);

$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);

if ($httpCode !== 200) {
    throw new Exception("Token refresh failed: {$httpCode}");
}

$data = json_decode($response, true);
$newToken = $data['access_token'] ?? null;
if (!$newToken) {
    throw new Exception('No access_token in refresh response');
}

// 后续 WebSocket 握手请求头中使用它
$wsHeaders = [
    "Authorization: Bearer {$newToken}",
    "Sec-WebSocket-Version: 13",
    "Sec-WebSocket-Key: " . base64_encode(random_bytes(16)),
];

• refresh token 必须保密存储（如加密存 DB 或 Redis，过期时间设为 7–30 天），不能明文放 session
• 刷新成功后，务必更新 session/缓存中的 access_token 和 expires_at 时间戳，避免下次又用旧 token
• 别在 WebSocket 连接过程中同步刷新 token —— 一旦连接已建立，token 过期不影响当前帧传输，但后续 ping/subscribe 等业务请求会失败

WebSocket 已连接状态下 token 过期怎么办

WebSocket 协议本身不定义 token 续期机制。服务端通常会在 ping 响应、或每次业务消息处理前校验 token。一旦过期，常见表现是：服务端主动发 close 帧（code 4001 或自定义），或后续 send() 操作无响应、超时。

这时 PHP 客户端（如基于 sockets 或 amphp/websocket）无法“热替换 token”，唯一可靠做法是：断开重连，并在重连前刷新 token。

• 监听 WebSocket 关闭事件（如 onClose 回调），检查 $code 是否为 4001 / 4003 等语义化过期码
• 触发一次 token 刷新流程（同上），成功后再调用 reconnect() 或新建 client 实例
• 加退避重连（如 1s → 2s → 4s），避免 token 刷新失败时无限循环
• 注意：不要在 onMessage 里边收到错误响应边刷新 token 边重发消息 —— 顺序和状态容易错乱，应统一交由连接管理层处理

用 ReactPHP 或 A

mp 时 token 管理的坑

异步 PHP 框架里，token 刷新是 Promise/Future 操作，容易因闭包捕获旧值、未 await 就建连而失效。

以 reactphp/websocket-client 为例，常见错误写法：

// ❌ 错误：$token 是连接前就固定的，不会随刷新更新
$client->connect("wss://api.example.com?token={$token}");

// ✅ 正确：在 connect() 的 Promise 链中动态注入新 token
$refreshedToken = yield $this->refreshToken(); // yield 等待刷新完成
yield $client->connect("wss://api.example.com", [], [
    'headers' => ['Authorization' => "Bearer {$refreshedToken}"]
]);

• Amp 下必须用 co() 或 await 确保刷新完成，否则 connect() 可能拿到 null 或过期值
• 别把 token 存在类属性里供多个协程共享修改 —— 竞态下可能 A 刷新了、B 还拿着旧值去连
• 有些网关要求 token 放 query string（如 wss://…/ws?token=xxx），要注意 URL 编码，且该方式比 header 更易泄露、不推荐用于生产

token 刷新不是“连上了再换”，而是“换好了再连”。所有连接发起点都必须串行经过刷新逻辑，且刷新结果要严格绑定到当次连接上下文 —— 这一点在异步、长连接、多租户场景下最容易出问题。