Swoole客户端不支持原生SSL,需用swoole_http_client或swoole_websocket_client实现TLS;若需mTLS则须用PHP stream_socket_client手动封装。
Swoole 客户端本身不提供原生 SSL/TLS 加密连接能力——它没有类似 swoole_client 的构造函数参数或 set() 方法来直接启用 SSL。你不能像服务端那样写 SWOOLE_SOCK_TCP | SWOOLE_SSL 来创建一个加密的客户端 socket。
那怎么实现安全通信?答案是:用 swoole_http_client 或 swoole_websocket_client,它们内置了 TLS 支持;或者退一步,用 PHP 原生 stream_socket_client + openssl 上下文手动封装。
为什么 swoole_client 不支持 SSL?
因为 swoole_client 是底层 TCP/UDP 客户端,设计定位就是“裸 socket 控制”,SSL 层需要握手、证书验证、密钥协商等复杂状态管理,Swoole 把这部分能力收敛到了更高层的 HTTP/WebSocket 客户端中。
-
swoole_client初始化时只接受SWOOLE_SOCK_TCP、SWOOLE_SOCK_UDP等基础类型,SWOOLE_SSL标志对其无效 - 尝试传入
SWOOLE_SOCK_TCP | SWOOLE_SSL会静默忽略 SSL 标志,连接仍是明文 - 即使你手动调用
ssl_handshake()(该方法已废弃且仅限服务端监听端口),客户端侧无对应接口
swoole_http_client 怎么开 TLS?
这是最常用、最稳妥的方式,适用于调用 HTTPS 接口或自建 TLS 后端服务。它自动处理证书验证、SNI、ALPN 等细节。
- 必须使用
https://协议前缀(不是http://) - 默认校验服务端证书;如需跳过(仅测试环境),加
ssl_verify_peer => false - 若服务端用了自签名证书,需显式指定
ssl_cafile路径 - 不支持客户端证书双向认证(mTLS)——
swoole_http_client没有ssl_cert_file/ssl_key_file配置项
$client = new swoole_http_client('example.com', 443, true); // 第三个参数 true 表示启用 HTTPS
$client->set([
'ssl_verify_peer' => true,
'ssl_cafile' => '/path/to/ca-bundle.crt',
]);
$client->get('/api/status', function ($cli) {
echo $cli->body;
});WebSocket 客户端怎么连 wss://?
swoole_websocket_client 对 wss:// 的支持是开箱即用的,但有几个关键点容易出错:
- URL 必须以
wss://开头,且域名要与证书匹配(不能用 IP 直连,否则证书校验失败) - 同样默认校验证书;测试时可设
ssl_verify_peer => false - 不支持设置客户端证书(即无法做双向 TLS)
- 若服务端启用了 SNI 或 ALPN 扩展,新版 Swoole(≥4.8.0)能自动协商,旧版可能握手失败
$ws = new swoole_websocket_client('wss://echo.websocket.org:443', 1000, [
'ssl_verify_peer' => false, // 测试时关闭校验
]);
$ws->on('open', function ($ws) {
$ws->push('hello');
});
$ws->on('message', function ($ws, $frame) {
echo "recv: {$frame->data}\n";
});真要自己封装 TCP+SSL 客户端怎么办?
极少数场景(比如对接老协议、需 mTLS 双向认证),你得绕过 Swoole 客户端,改用 PHP 原生流 + OpenSSL:
- 用
stream_socket_client,传入['ssl' => [...]]上下文 - 可完整控制
verify_peer、cafile、local_cert(客户端证书)、passphrase等 - 缺点:失去 Swoole 的协程调度优势,不能直接
yield;需自己处理读写缓冲和超时 - 注意:PHP 编译时必须启用
--with-openssl,且 Swoole 也得带 OpenSSL 支持(php --ri swoole看输出是否有openssl => enabled)
$context = stream_context_create([
'ssl' => [
'verify_peer' => true,
'cafile' => '/path/to/ca.pem',
'local_cert' => '/path/to/client.crt',
'local_pk' => '/path/to/client.key',
'passphrase' => 'mypass',
'SNI_enabled' => true,
]
]);
$fp = stream_socket_client('tls://backend.example.com:8443', $errNo, $errStr, 5, STREAM_CLIENT_CONNECT, $context);实际项目里,95% 的需求靠 swoole_http_client 或 swoole_websocket_client 就够了。硬上原生流,往往是因为服务端强依赖客户端证书,而这个细节,很多人在调试失败时才想起来翻证书路径是不是拼错了、passphrase 对不对、CA 包有没有更新——这些地方一卡就是半小时。
