Golang Go语言中 websocket 实现了统计在线人数，那 websocket 该如何防爆，防跨站？

量,N 万 百万 在线, 你试下

wss 统计在线人数，代价还是很低的，一般只是端口不够用

我之前的测试，库使用 gorilla/websocket 1 万个连接测试

占用 147.93MB RAM, 平均连接每个占用 15kb 测试代码见：[github gwebsocket]( https://github.com/douyacun/gwebsocket/blob/master/v3_ws_ulimit/wsserver.go)

shell<br>(pprof) top<br>Showing nodes accounting for 137.93MB, 93.24% of 147.93MB total<br>Dropped 6 nodes (cum &lt;= 0.74MB)<br>Showing top 10 nodes out of 51<br> flat flat% sum% cum cum%<br> 73.79MB 49.88% 49.88% 73.79MB 49.88% bufio.NewWriterSize<br> 34.63MB 23.41% 73.29% 34.63MB 23.41% bufio.NewReaderSize<br> 11MB 7.44% 80.73% 11MB 7.44% runtime.malg<br> 4MB 2.70% 83.44% 5.50MB 3.72% net/textproto.(*Reader).ReadMIMEHeader<br> 3MB 2.03% 85.46% 3.50MB 2.37% <a target="_blank" href="http://github.com/gorilla/websocket.newConn" rel="nofollow noopener">github.com/gorilla/websocket.newConn</a><br> 3MB 2.03% 87.49% 10.50MB 7.10% net/http.readRequest<br> 2.50MB 1.69% 89.18% 16.50MB 11.16% net/http.(*conn).readRequest<br> 2.50MB 1.69% 90.87% 3.50MB 2.37% context.propagateCancel<br> 2MB 1.35% 92.23% 2MB 1.35% syscall.anyToSockaddr<br> 1.50MB 1.01% 93.24% 1.50MB 1.01% net.newFD<br>(pprof) web<br>failed to execute dot. Is Graphviz installed? Error: exec: "dot": executable file not found in $PATH<br>(pprof) list flat<br>Total: 147.93MB<br>
goroutine 是 10003，每个 goroutine 占用 4kb 的内存

shell<br>(pprof) top<br>Showing nodes accounting for 10001, 100% of 10003 total<br>Dropped 24 nodes (cum &lt;= 50)<br>Showing top 10 nodes out of 19<br> flat flat% sum% cum cum%<br> 10001 100% 100% 10001 100% runtime.gopark<br> 0 0% 100% 9998 100% bufio.(*Reader).Peek<br> 0 0% 100% 9998 100% bufio.(*Reader).fill<br> 0 0% 100% 9999 100% <a target="_blank" href="http://github.com/gorilla/websocket.(*Conn).NextReader" rel="nofollow noopener">github.com/gorilla/websocket.(*Conn).NextReader</a><br> 0 0% 100% 9999 100% <a target="_blank" href="http://github.com/gorilla/websocket.(*Conn).ReadMessage" rel="nofollow noopener">github.com/gorilla/websocket.(*Conn).ReadMessage</a><br> 0 0% 100% 9999 100% <a target="_blank" href="http://github.com/gorilla/websocket.(*Conn).advanceFrame" rel="nofollow noopener">github.com/gorilla/websocket.(*Conn).advanceFrame</a><br> 0 0% 100% 9998 100% <a target="_blank" href="http://github.com/gorilla/websocket.(*Conn).read" rel="nofollow noopener">github.com/gorilla/websocket.(*Conn).read</a><br> 0 0% 100% 9999 100% internal/poll.(*FD).Read<br> 0 0% 100% 10001 100% internal/poll.(*pollDesc).wait<br> 0 0% 100% 10001 100% internal/poll.(*pollDesc).waitRead (inline)<br>(pprof) list flat<br>Total: 10003<br>(pprof)<br>

刚才本子打开也恶心到我自己了，都是在外接显示上开发的

初次访问你网站的时候,下发一个 cookie. 后续 websocket 携带这个 cookie 去访问. 同一个 cookie 的直接 close 掉. 不带 cookie 的也 close 掉.

跨站点劫持楼主已经写了，check origin + 业务层认证

单设备连接数限制这个不太合理，通常应该按照身份限制比较好：既然有业务层认证，每个连接都有身份，如果不允许同一个身份多个连接、认证后就把之前的踢掉，如果允许，那就自己服务节点配置提高、节点数量增加之类的（如果怕统一身份的连接散到多个服务节点上，可以加个网关层，网关层按身份指定到实际的业务节点、由业务节点进行踢下线处理）。如果实在是想按照设备限制，那策略里使用身份的地方就改用 ip 或者你的算法能够生成的设备 id

统计人数通常不需要太精确，即使是多个服务节点，每个节点定时（比如 5s ）更新自己节点在线数到 redis/sql 都可以、更新多节点在线数量总和就可以了，实时在线本来就是不停跳动的，精确的意义不大。如果实在要求精确，自己再写个服务进行统计、并且同步到所有节点，或者直接用 redis incr 之类的，每秒查询、更新，但是都没法保证百分百精确，实时的本来就是跳动的数据，即使是股票 K 线的蜡烛图也都是按时间段的起值、止值、最高值、最低值进行统计的