你遇到的问题非常典型：当把TcpStream设置为非阻塞模式后，SSL握手没办法在单次connect调用中完成，这时候OpenSSL库会返回WouldBlock错误，同时给出一个MidHandshakeSslStream，提示你需要继续完成握手流程——直接unwrap自然会触发panic。

下面是具体的解决思路和代码示例：

核心原因 #

在非阻塞IO模式下，网络操作（包括SSL握手）不会等待操作完成，而是立即返回：如果操作还没完成，就返回WouldBlock，这时候我们需要等待流的可读/可写事件，然后继续调用握手方法，直到整个流程完成。

解决方案代码 #

我们需要捕获WouldBlock错误，然后手动驱动握手完成。这里提供两种常用方式：

方式1：标准库手动处理握手 #

适合不想引入异步运行时的场景，手动轮询流的状态完成握手：

use openssl::ssl::{SslMethod, SslConnector, MidHandshakeSslStream, Error as SslError};
use std::io::{ErrorKind};
use std::net::TcpStream;
use std::time::Duration;

fn main() {
    let connector = SslConnector::builder(SslMethod::tls()).unwrap().build();
    let stream = TcpStream::connect("google.com:443").unwrap();
    stream.set_nonblocking(true).unwrap();

    // 初始化SSL连接，捕获未完成的握手状态
    let mut ssl_stream = match connector.connect("google.com", stream) {
        Ok(s) => s,
        Err(SslError::WouldBlock(mid_stream)) => mid_stream,
        Err(e) => panic!("Failed to start SSL handshake: {}", e),
    };

    // 循环处理握手，直到完成
    loop {
        match ssl_stream.handshake() {
            Ok(completed_stream) => {
                ssl_stream = completed_stream;
                break;
            }
            Err(SslError::WouldBlock(_)) => {
                // 这里可以用IO多路复用（如epoll/kqueue）监听流状态，用sleep是简化示例
                std::thread::sleep(Duration::from_millis(10));
                // 更优的方式：检查流的就绪状态
                // if ssl_stream.stream().ready(std::net::Ready::READ | std::net::Ready::WRITE).is_ok() {
                //     continue;
                // }
            }
            Err(e) => panic!("Handshake failed: {}", e),
        }
    }

    // 现在可以正常使用SSL流了
    ssl_stream.write_all(b"GET / HTTP/1.1\r\nHost: google.com\r\nConnection: close\r\n\r\n").unwrap();
    let mut buf = Vec::new();
    ssl_stream.read_to_end(&mut buf).unwrap();
    println!("{}", String::from_utf8_lossy(&buf));
}

方式2：结合tokio异步运行时（推荐） #

如果你的项目是异步架构，使用tokio-openssl可以自动处理非阻塞握手的细节，代码更简洁：

首先在Cargo.toml添加依赖：

[dependencies]
tokio = { version = "1.0", features = ["full"] }
tokio-openssl = "0.6"
openssl = "0.10"

然后编写异步代码：

use tokio::net::TcpStream;
use tokio_openssl::SslConnector;
use openssl::ssl::SslMethod;

#[tokio::main]
async fn main() -> Result<(), Box<dyn std::error::Error>> {
    let connector = SslConnector::builder(SslMethod::tls())?.build();
    let stream = TcpStream::connect("google.com:443").await?;
    
    // 异步完成SSL握手，自动处理非阻塞逻辑
    let mut ssl_stream = connector.connect("google.com", stream).await?;
    
    // 发送HTTP请求并读取响应
    ssl_stream.write_all(b"GET / HTTP/1.1\r\nHost: google.com\r\nConnection: close\r\n\r\n").await?;
    
    let mut buf = Vec::new();
    ssl_stream.read_to_end(&mut buf).await?;
    println!("{}", String::from_utf8_lossy(&buf));
    
    Ok(())
}

关键注意点 #

• 非阻塞IO场景下，绝对不能直接unwrapSSL连接结果，必须处理WouldBlock错误
• 手动处理握手时，优先用IO多路复用监听流状态，避免用sleep浪费性能
• 异步运行时已经封装了非阻塞IO的复杂度，使用对应的openssl绑定库是更高效的选择

内容的提问来源于stack exchange，提问作者Fi3