websocket 实现了统计在线人数，那 websocket 该如何防爆，防跨站？

侧边栏弹出来遮住右侧内容是 feature?

用 tcp 长链统计在线人数？？？也是醉了

@ferock 这种方式有什么问题吗？展开说说

@jobsofchina 量,N 万 百万 在线, 你试下

@ferock wss 统计在线人数，代价还是很低的，一般只是端口不够用

我之前的测试，库使用 gorilla/websocket 1 万个连接测试

占用 147.93MB RAM, 平均连接每个占用 15kb 测试代码见：[github gwebsocket]( https://github.com/douyacun/gwebsocket/blob/master/v3_ws_ulimit/wsserver.go)

```shell
(pprof) top
Showing nodes accounting for 137.93MB, 93.24% of 147.93MB total
Dropped 6 nodes (cum <= 0.74MB)
Showing top 10 nodes out of 51
flat flat% sum% cum cum%
73.79MB 49.88% 49.88% 73.79MB 49.88% bufio.NewWriterSize
34.63MB 23.41% 73.29% 34.63MB 23.41% bufio.NewReaderSize
11MB 7.44% 80.73% 11MB 7.44% runtime.malg
4MB 2.70% 83.44% 5.50MB 3.72% net/textproto.(*Reader).ReadMIMEHeader
3MB 2.03% 85.46% 3.50MB 2.37% github.com/gorilla/websocket.newConn
3MB 2.03% 87.49% 10.50MB 7.10% net/http.readRequest
2.50MB 1.69% 89.18% 16.50MB 11.16% net/http.(*conn).readRequest
2.50MB 1.69% 90.87% 3.50MB 2.37% context.propagateCancel
2MB 1.35% 92.23% 2MB 1.35% syscall.anyToSockaddr
1.50MB 1.01% 93.24% 1.50MB 1.01% net.newFD
(pprof) web
failed to execute dot. Is Graphviz installed? Error: exec: "dot": executable file not found in $PATH
(pprof) list flat
Total: 147.93MB
```
goroutine 是 10003，每个 goroutine 占用 4kb 的内存

```shell
(pprof) top
Showing nodes accounting for 10001, 100% of 10003 total
Dropped 24 nodes (cum <= 50)
Showing top 10 nodes out of 19
flat flat% sum% cum cum%
10001 100% 100% 10001 100% runtime.gopark
0 0% 100% 9998 100% bufio.(*Reader).Peek
0 0% 100% 9998 100% bufio.(*Reader).fill
0 0% 100% 9999 100% github.com/gorilla/websocket.(*Conn).NextReader
0 0% 100% 9999 100% github.com/gorilla/websocket.(*Conn).ReadMessage
0 0% 100% 9999 100% github.com/gorilla/websocket.(*Conn).advanceFrame
0 0% 100% 9998 100% github.com/gorilla/websocket.(*Conn).read
0 0% 100% 9999 100% internal/poll.(*FD).Read
0 0% 100% 10001 100% internal/poll.(*pollDesc).wait
0 0% 100% 10001 100% internal/poll.(*pollDesc).waitRead (inline)
(pprof) list flat
Total: 10003
(pprof)
```

@airyland 刚才本子打开也恶心到我自己了，都是在外接显示上开发的

@jobsofchina 第一，可能会有跨站点 WebSocket 劫持漏洞；第二，同一设备出 bug 导致连接数过多会让服务挂掉 🤣

在线人数这种需求建议还是轮询吧。

@krixaar 这几个问题也是这个帖子发布的目的，也是想看看大家是怎么玩的，有什么好的思路，之前有个安卓的同学就这么搞过我～，吐血的经历

@zxlzy 自己的站点，当然随意玩耍了，主要是有 wss 使用的场景，如何防护一下

直接把用户登入的状态放在 Redis 里边啊,设置个超时时间,然后没有统计有多少数据存在不就行了

@rust 我的错,没看清标题.
抖音 APP 在使用 WS 传输 Protobuf 编码之后的数据,同时也使用了 token,这也算是一个比较好的解决方案吧

@rust 登入状态放 redis 里，如何统计有多少数据存在？命令是啥呀？

额，不同的语言写法不同。

思路就是丢个唯一值到客户端 cookie，再把这个值丢到 redis 设置个超时，然后每次新请求获取这个值，如果这个值还在 redis 就不做操作，返回当前 redis 总计多少个 key 。

如果这个值不在 redis 里，就再丢一个唯一值到客户端，本地新增一个记录，返回 key 总数。

初次访问你网站的时候,下发一个 cookie. 后续 websocket 携带这个 cookie 去访问. 同一个 cookie 的直接 close 掉. 不带 cookie 的也 close 掉.

所有用户的这个值都应该是一样的啊，为啥要 ws
直接服务端统计然后直接暴露一个固定的接口轮询不就好了

Client 与 Server 之间可以用 RabbitMQ 来缓和压力，这个在 Spring 中很好的支持，通过 STOMP 协议，客户端也用 sockjs 支持。

设置一个能承受的连接上限, 比如好几十万. 网站最大就显示这么多个数..

超过就直接连接失败

@douyacun 一个端口服务能服务多少用户和服务器本地有多少个端口（也就是你认为的那个常规是 65535 的数值）没关系。