本文详解 fastify 配合 @fastify/websocket 在启用 https(wss)时连接失败的常见原因与实战修复方案,涵盖证书配置、服务器初始化逻辑、客户端连接注意事项及调试技巧。
本文详解 fastify 配合 @fastify/websocket 在启用 https(wss)时连接失败的常见原因与实战修复方案,涵盖证书配置、服务器初始化逻辑、客户端连接注意事项及调试技巧。
在使用 Fastify 构建全栈实时应用时,@fastify/websocket 是官方推荐的 WebSocket 插件,但许多开发者在从 HTTP 切换到 HTTPS 后会遇到 ws:// 可连而 wss:// 无法建立连接的问题——服务端日志无报错、HTTPS 页面正常加载,但浏览器控制台提示 net::ERR_CONNECTION_REFUSED 或 Error during WebSocket handshake: net::ERR_SSL_PROTOCOL_ERROR。这并非插件兼容性问题,而是 HTTPS/WSS 协议协同中的典型配置疏漏。
✅ 正确初始化 Fastify 实例(关键!)
首要问题是:WebSocket 支持必须与 HTTPS 配置同步注入 Fastify 实例。你当前的代码中,@fastify/websocket 是在 https: {…} 选项外注册的,看似无害,但 Fastify 的 WebSocket 插件依赖底层 server 实例的协议能力。若 https 配置未在 fastify() 构造时传入,即使后续监听 HTTPS 端口,WebSocket 升级(upgrade)请求仍可能被降级处理或拒绝。
请统一使用以下初始化方式(推荐单实例 + 条件化配置):
const fs = require('fs'); const fastify = require('fastify'); const config = { privKey: process.env.PRIV_KEY, certKey: process.env.CERT_KEY, https: process.env.HTTPS === '1', domains: process.env.DOMAINS?.split(',') || ['*'], port: parseInt(process.env.PORT) || 3000, }; // 统一构建 Fastify 实例(HTTPS 配置必须在此处声明) const fastifyInstance = fastify({ serverTimeout: 60 * 60 * 1000, logger: true, ...(config.https && { https: { key: fs.readFileSync(config.privKey), cert: fs.readFileSync(config.certKey), // ⚠️ 生产环境建议添加 ca(如使用中间证书) // ca: fs.readFileSync('./fullchain.pem'), } }) }); // ✅ 此时再注册 CORS 和 WebSocket(顺序无关紧要,但必须在 listen() 前) fastifyInstance.register(require('@fastify/cors'), { origin: config.domains, }); fastifyInstance.register(require('@fastify/websocket')); // WebSocket 路由注册 fastifyInstance.register(async function (instance) { instance.get('/live', { websocket: true }, (connection, request) => { console.log('New WebSocket connection from:', request.socket.remoteAddress); connection.socket.on('message', (data) => { try { const message = data.toString(); console.log('Received:', message); connection.socket.send(`Echo: ${message}`); } catch (err) { console.error('Send error:', err); } }); connection.socket.on('close', () => { console.log('Connection closed'); }); }); }); // 启动监听(自动适配 http(s)) const start = async () => { try { const address = await fastifyInstance.listen({ host: '0.0.0.0', port: config.port, // ⚠️ 重要:HTTPS 模式下必须显式指定 secure: true(否则默认走 HTTP) ...(config.https && { secure: true }) }); fastifyInstance.log.info(`Server listening at ${address}`); } catch (err) { fastifyInstance.log.error(err); process.exit(1); } }; start();? 证书要求:WSS 不接受自签名证书(除非显式信任)
你提到“证书有效,Fastify HTTPS 工作正常”,但需注意:浏览器对 wss:// 的 TLS 校验比 https:// 更严格。即使页面通过 https:// 加载,WebSocket 连接仍会独立校验证书链完整性。
-
❌ 浏览器直接拒绝未受信的自签名证书(如 OpenSSL 生成的),且不会弹出“继续访问”提示;
-
✅ 推荐开发环境使用 mkcert 生成本地可信证书:
# 安装并初始化本地 CA mkcert -install # 为 localhost 生成证书 mkcert localhost 127.0.0.1 ::1 # 输出:localhost-key.pem + localhost.pem将生成的 .pem 文件路径赋给 PRIV_KEY 和 CERT_KEY 环境变量即可。
-
? 生产环境务必使用 Let’s Encrypt(certbot)或云厂商签发的完整证书链(含 fullchain.pem),避免因缺少中间证书导致 WSS 握手失败。
? 客户端连接:协议必须严格匹配
前端连接时,务必确保 URL 协议与服务端一致:
// ✅ 正确:HTTPS 页面 → WSS 连接 const ws = new WebSocket('wss://your-domain.com/live'); // ❌ 错误:HTTPS 页面尝试 ws://(混合内容被浏览器阻止) // const ws = new WebSocket('ws://your-domain.com/live'); // Blocked by browser! // ✅ 开发环境(localhost + mkcert) const ws = new WebSocket('wss://localhost:3000/live');? 提示:Chrome 控制台 > Application > Frames 中可查看当前页面协议,确保 wss:// 连接来源与页面同源(协议+域名+端口)。
? 调试技巧
-
验证 HTTPS 是否真正启用:
curl -I https://localhost:3000 应返回 HTTP/2 200 或 HTTP/1.1 200,且无证书警告。 -
测试 WSS 握手(命令行):
# 使用 wscat(npm install -g wscat) wscat -c "wss://localhost:3000/live" --insecure # --insecure 仅开发时跳过证书校验 -
检查 Fastify 日志级别:
启用详细日志:logger: { level: ‘trace’ },观察是否有 upgrade 请求被拦截或 websocket: false 相关 warn。
✅ 总结:WSS 连接成功的三大前提
| 要素 | 要求 | 检查方式 |
|---|---|---|
| 服务端配置 | https 选项必须在 fastify() 初始化时传入,且 @fastify/websocket 在其后注册 | 查看 fastify({ https: {…} }) 是否存在 |
| TLS 证书 | 必须为浏览器信任的证书(mkcert / Let’s Encrypt),且 cert 包含完整链 | openssl x509 -in cert.pem -text -noout | grep “Issuer” |
| 客户端连接 | URL 协议(wss://)与页面协议一致,无跨域或混合内容限制 | 浏览器 Network 标签页查看 WebSocket 请求状态码 |
遵循以上方案,99% 的 Fastify + WSS 连接问题将迎刃而解。记住:WSS 不是“HTTPS 上的 WS”,而是基于 TLS 的独立协议通道,其握手、证书、端口均需端到端对齐。