一、进程模型概览:为什么 Tauri 要“多进程”
Tauri 的整体架构与现代浏览器相似:一个 Core 进程管理应用生命周期与系统能力,多个 WebView 进程负责 UI 渲染与交互。这样设计的目的不是增加复杂度,而是让应用同时获得更好的交互流畅性、稳定性和安全性。
二、为什么要多进程:体验、稳定与安全三重收益
早期 GUI 应用常把计算、渲染、输入响应全部放在单进程里,结果是重任务会导致界面无响应,某处崩溃可能拖垮整个应用。多进程能带来更合理的隔离与资源利用:
- 性能与体验
将重计算、I/O 与 UI 渲染解耦,充分利用多核 CPU,降低“卡 UI”的概率。 - 稳定性
某个组件或渲染进程异常,不必然导致整个应用退出;必要时可重启局部组件。 - 安全性
通过按进程划分权限与能力,把潜在漏洞的“破坏半径”压缩到最小。
上述安全思路对应经典原则:最小权限原则(Principle of Least Privilege)。每个进程只拿到完成任务所需的最低权限,即使被利用,也更难造成大范围损害。
三、Core 进程:唯一拥有完整系统权限的“中枢”
每个 Tauri 应用都包含一个 Core 进程,它是应用入口,也是唯一具备完整操作系统访问能力的组件。Core 的职责通常包括:
- 系统级对象的创建与编排
负责窗口(含多窗口)、系统托盘菜单、通知等 OS 能力的统一调度,并提供跨平台抽象。 - IPC(进程间通信)的统一路由
WebView 想访问系统能力,通常必须通过 IPC 把请求发给 Core。Core 作为唯一通道,便于集中做拦截、过滤、校验、限流、审计与策略控制。 - 全局状态与敏感资源管理
建议把设置、数据库连接、缓存、密钥与业务敏感数据放在 Core:
(1)便于多窗口同步状态
(2)避免敏感数据暴露在前端执行环境 - Rust 实现带来的安全与性能底座
Rust 的内存安全与并发安全特性适合承担“系统能力层”,在保证性能的同时降低内存类漏洞风险。
你可以把 Core 理解为:权限边界 + 安全网关 + 业务核心。
四、WebView 进程:负责 UI 的“浏览器式运行环境”
Core 不直接渲染 UI,它会启动一个或多个 WebView 进程,使用操作系统提供的 WebView 能力来执行 HTML/CSS/JS(或 WASM)。这意味着:
- Web 开发经验可复用
你可以继续使用前端框架与工具链(例如 Svelte + Vite、React + Vite 等)。 - Web 安全最佳实践同样适用
(1)必须净化与校验用户输入
(2)不要在前端存放/处理密钥、token、账号密码等敏感信息
(3)尽量将业务逻辑与敏感数据下沉到 Core,缩小前端攻击面 - 平台差异需要像 Web 一样被对待
由于 WebView 引擎来自系统,不同平台行为可能存在差异,测试与兼容策略要前置。
五、简化示意:一核多渲染的协作方式
六、工程落地建议:把模型用对,应用自然更安全
- 把 WebView 当作不可信边界
任何来自前端的输入、URL、路径、参数都先当作不可信数据处理。 - 把 IPC 当作 API 网关来设计
在 Core 做参数校验、权限校验、路径规范化与审计;避免提供“万能能力”命令。 - 敏感数据只在 Core 持有
数据库连接、加密密钥、鉴权与 token 刷新逻辑放 Core,前端只拿最小必要结果。 - 重任务不要堵 Core 主循环
重 CPU/大 I/O 放后台任务或线程池,用事件/进度回调推动 UI 更新。 - 提前建立跨平台验证清单
对 CSP、下载、剪贴板、输入法、窗口行为等易出差异点做最小覆盖测试。
