WebSocket 与 Java

Bozhidar Bozhanov 是 Ontotext AD 的高级软件工程师，拥有多年的从业经验，也是 stackoverflow 上的活跃用户。他精通于 Java 与 Java 技术栈，如 Spring、JPA、JavaEE 等，同时还是 http://computoser.com 与 http://welshare.com 的创始人。曾开发过爱立信的项目、保加利亚电子政务项目以及大型招聘平台等。近日 Bozhidar撰文谈到了WebSocket 与Java，并给出了相应的代码示例。Bozhidar 在文中详细分析了WebSocket 的原理、适用范围，以及如何通过Java 来使用WebSocket。

WebSocket 是一个很酷的新技术，可以实现浏览器与服务器之间实时、双向的通信，几乎没有任何额外的代价。我这里要做的事情就是提供一个非常简洁，但却内容丰富的概览，介绍如何开始使用这门技术。首先读者需要了解如下一些事情：

• 首先在浏览器与服务器之间需要开启一个 TCP Socket 连接，每一方都可以向对方发送消息（比如说，服务器可以在有数据时将其推送出去，无需使用轮询、长轮询、iframes 等技术）。
• 并不是所有浏览器都支持 WebSocket 技术，IE 10 是首个支持 WebSocket 的 IE 版本，Android 依然还存在着一些问题。幸好有 SockJS ，在不支持 WebSocket 的情况下，它会退回到其他的推送技术。
• 并不是所有的代理服务器都支持或是允许 WebSocket，因此这时还是需要退回到其他的推送技术。
• WebSocket 适合于游戏、交易型应用，事实上，它适合于任何服务器要向浏览器推送数据的场景。
• Java 有标准 API（ JSR-356 ），你可以在服务端通过它来处理 WebSocket 连接。
• Spring 在 Java API 的基础之上提供了一个 API 。对于 Spring 提供的支持来说，好消息是它对 SockJS 提供了服务器端的支持，你也可以毫无压力地使用依赖注入。Spring 还对消息驱动的架构提供了 STOMP 支持。上面的两篇 Spring 文章都给出了 GitHub 上示例项目的链接，我强烈建议大家看看。
• 长久以来， Atmosphere 框架一直是服务器推送技术的解决方案。这里是WebSocket 上手指南。另外，Cometd 也提供了 WebSocket 支持。

在给出具体的示例代码前，我首先来介绍一下 Socket 的生命周期，包括客户端的与服务器端的：

1. 浏览器发出一个 HTTP 请求，带有一个特殊的 Upgrade 头，其值是“websocket”。
2. 如果服务器能够“理解”WebSocket，那么它会使用状态 101 进行应答——交换协议。从现在开始，我们就不再使用 HTTP 了。
3. 当服务器接收这个 TCP Socket 连接后，一个初始化方法会得到调用，当前的 WebSocket Session 会被传递进来。每个 Socket 都有唯一一个 Session id。
4. 当浏览器向服务器发送消息时，另一个方法会得到调用，你在这里获得 Session 与消息负载。
5. 根据某个负载参数，应用代码会执行一个动作。负载的格式完全取决于开发者。一般来说会使用 JSON 序列化的对象。
6. 当服务器需要发送消息时，它需要获得这个 Session 对象，然后通过它来发送消息。
7. 当浏览器关闭连接时，服务器会得到通知，这样它就可以清理与特定 Session 关联的一些资源了。

目前，还没有任何一个 API 或框架能够支持基于注解的路由。Java API 支持基于注解的端点处理器，不过每个连接 URL 需要一个类来处理，通常情况下，你希望在单个连接上执行多个操作。也就是说，你连接到 ws://yourserver.com/game/，然后想要传递“joinGame”和“leaveGame”等消息。类似地，服务器需要发送回多种类型的消息。我使用了枚举来实现这一点，枚举中包含了所有可能的动作与事件类型，然后使用 switch 来确定该调用哪一个。

因此，我决定为我的算法音乐作曲家开发一个简单的游戏。它使用了 Spring API，感兴趣的读者可以看看这个介绍，这是我在公司所做的一次演讲。下面是一些示例代码：

 
@Component
public class GameHandler extends WebSocketHandlerAdapter {
  private Map

下面来看一个示例场景，其中服务器需要向客户端发送消息。这就好比一个玩家加入了游戏一样，这时其他所有玩家都会收到有新人加入的通知。系统中的中心类是 Game，它拥有一个玩家列表。如你所见，一个 Player 包含了一个对 WebSocket Session 的引用。这样，当新的玩家加入时，下面的 Game 中的方法就会得到调用：

 
public boolean playerJoined(Player player) {
  for (Player otherPlayer : players.values()) {
     otherPlayer.playerJoined(player);
  }
  players.put(player.getSession().getId(), player);
  return true;
}

player.playerJoined(…) 会在连接之上发送一条消息，通知浏览器有新的玩家加入了：

 
public void playerJoined(Player player) {
  GameEvent event = new GameEvent(GameEventType.PLAYER_JOINED);
  event.setPlayerId(player.getSession().getId());
  event.setPlayerName(player.getName());
  try {
     session.sendMessage(new TextMessage(event.toJson()));
  } catch (IOException e) {
     new IllegalStateException(e);
  }
}

从服务器向浏览器发送消息可能还需要一个调度 job 进行触发。

关键在于你维护了一个所有已连接的浏览器列表，这样就可以向回发送信息了。这个列表可以是个静态属性，不过对于单例的 Spring Bean 来说就没必要这么做了。

现在，有两个重要的方面需要我们注意——安全与认证。这是来自于Heroku 的一篇很不错的文章，对安全与认证进行了详细的介绍。如果还有其他敏感信息，你就应该使用wss（Websocket over TLS）了。你还应该在服务器端与客户端验证输入，而不应该依赖于Origin 头，因为攻击者可以轻而易举地骗过浏览器。

认证可以依赖于HTTP Session cookie，不过显而易见的是，有些人更喜欢实现自己的类cookie 工作流，从而获取一个短暂的令牌，它可以用于执行认证操作。

WebSocket 使得 DDD 变得更加自然。你不必再处理贫血对象了，你的对象有各自的状态以及对这些状态的操作。与之相关的是，WebSocket 应用的测试变得更加容易了。

在开发 WebSocket 应用时还有不少需要注意的事情。值得注意的是，你没有必要在任何地方都使用 WebSocket，我将其限定在需要“推送”的场景下。

总的来说，WebSocket 是一个很棒、很有趣的技术，它非常有希望灭掉所有采用 hack 手段实现的推送模拟技术。