Live555源码分析@njzhujinhua[2]:RTSPServer中的用户认证

最新推荐文章于 2024-08-05 00:00:00 发布
最新推荐文章于 2024-08-05 00:00:00 发布
阅读量4.7k 收藏 1
点赞数
分类专栏: 流媒体
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NJZhuJinhua/article/details/27859347
版权

http://blog.youkuaiyun.com/njzhujinhua @20140601

说到鉴权,这是我多年来工作中的一部分,但这里rtsp中的认证简单多了,只是最基本的digest鉴权的策略。


在Live555的实现中, 用户信息由如下类维护,其提供增删查的接口。realm默认值为"LIVE555 Streaming Media"

class UserAuthenticationDatabase {
public:
  UserAuthenticationDatabase(char const* realm = NULL,
			     Boolean passwordsAreMD5 = False);
    // If "passwordsAreMD5" is True, then each password stored into, or removed from,
    // the database is actually the value computed
    // by md5(<username>:<realm>:<actual-password>)
  virtual ~UserAuthenticationDatabase();
  virtual void addUserRecord(char const* username, char const* password);
  virtual void removeUserRecord(char const* username);

  virtual char const* lookupPassword(char const* username);
      // returns NULL if the user name was not present

  char const* realm() { return fRealm; }
  Boolean passwordsAreMD5() { return fPasswordsAreMD5; }

protected:
  HashTable* fTable;
  char* fRealm;
  Boolean fPasswordsAreMD5;
};

一个鉴权过程的例子如下:

[1]C-->S

OPTIONS rtsp://10.0.0.10:8554/h264ESVideoTest RTSP/1.0
CSeq: 2
User-Agent: LibVLC/2.1.3 (LIVE555 Streaming Media v2014.01.21)

[2]S-->C

RTSP/1.0 200 OK
CSeq: 2
Date: Sat, May 31 2014 14:16:42 GMT
Public: OPTIONS, DESCRIBE, SETUP, TEARDOWN, PLAY, PAUSE, GET_PARAMETER, SET_PARAMETER

[3]C-->S

DESCRIBE rtsp://10.0.0.10:8554/h264ESVideoTest RTSP/1.0
CSeq: 3
User-Agent: LibVLC/2.1.3 (LIVE555 Streaming Media v2014.01.21)
Accept: application/sdp

[4]S-->C

RTSP/1.0 401 Unauthorized
CSeq: 3
Date: Sat, May 31 2014 14:16:43 GMT
WWW-Authenticate: Digest realm="LIVE555 Streaming Media", nonce="73724068291777415fec38a1593568e5"

[5]C-->S

DESCRIBE rtsp://10.0.0.10:8554/h264ESVideoTest RTSP/1.0
CSeq: 4
Authorization: Digest username="zjh", realm="LIVE555 Streaming Media", nonce="73724068291777415fec38a1593568e5", uri="rtsp://10.0.0.10:8554/h264ESVideoTest", response="b8c755d897abddd0206954bab0e0b763"
User-Agent: LibVLC/2.1.3 (LIVE555 Streaming Media v2014.01.21)
Accept: application/sdp

[6]S

lookupPassword(zjh) returned password 123

鉴权通过,生成SDP信息


RTSP的鉴权发生在DESCRIBE命令之时,在收到DESCRIBE命令时,如果不需要处理鉴权,则直接就走到第6步,生成SDP信息,发送RTSP/1.0 200 OK及SDP信息并等待下一步的setup命令了。

如果需要鉴权则检查是否对本连接生成过nonce随机数,即是否已挑战过。如果没有则发送RTSP/1.0 401 Unauthorized,同时发送的内容中包含server指定的realm以及产生的随机数nonce。WWW-Authenticate: Digest realm="LIVE555 Streaming Media", nonce="73724068291777415fec38a1593568e5"

代码参见

Boolean RTSPServer::RTSPClientConnection::authenticationOK(char const* cmdName, char const* urlSuffix, char const* fullRequestStr)
{
    if (!fOurServer.specialClientAccessCheck(fClientInputSocket, fClientAddr, urlSuffix))
    {
        setRTSPResponse("401 Unauthorized");
        return False;
    }

    // If we weren't set up with an authentication database, we're OK:
    <span style="color:#3333ff;">UserAuthenticationDatabase* authDB = fOurServer.getAuthenticationDatabaseForCommand(cmdName);</span>
    if (authDB == NULL) return True;

    char const* username = NULL; char const* realm = NULL; char const* nonce = NULL;
    char const* uri = NULL; char const* response = NULL;
    Boolean success = False;

    do {
        <span style="color:#3333ff;">// To authenticate, we first need to have a nonce set up
        // from a previous attempt:
        if (fCurrentAuthenticator.nonce() == NULL) </span><span style="color:#ff0000;"><strong>break;</strong></span><span style="color:#3333ff;">

        // Next, the request needs to contain an "Authorization:" header,
        // containing a username, (our) realm, (our) nonce, uri,
        // and response string:</span>
        <span style="color:#3333ff;">if (!parseAuthorizationHeader(fullRequestStr,
            username, realm, nonce, uri, response)
            || username == NULL
            || realm == NULL || strcmp(realm, fCurrentAuthenticator.realm()) != 0
            || nonce == NULL || strcmp(nonce, fCurrentAuthenticator.nonce()) != 0
            || uri == NULL || response == NULL)
        {
            break;
        }

        // Next, the username has to be known to us:
        char const* password = authDB->lookupPassword(username);
#ifdef DEBUG
        fprintf(stderr, "lookupPassword(%s) returned password %s\n", username, password);
#endif
        if (password == NULL) break;
        fCurrentAuthenticator.setUsernameAndPassword(username, password, authDB->passwordsAreMD5());

        // Finally, compute a digest response from the information that we have,
        // and compare it to the one that we were given:
        char const* ourResponse
            = fCurrentAuthenticator.computeDigestResponse(cmdName, uri);
        success = (strcmp(ourResponse, response) == 0);
        fCurrentAuthenticator.reclaimDigestResponse(ourResponse);
    } while (0);

    delete[] (char*)realm; delete[] (char*)nonce;
    delete[] (char*)uri; delete[] (char*)response;

    if (success)
    {
        // The user has been authenticated.
        // Now allow subclasses a chance to validate the user against the IP address and/or URL suffix.
        if (!fOurServer.specialClientUserAccessCheck(fClientInputSocket, fClientAddr, urlSuffix, username))
        {
            // Note: We don't return a "WWW-Authenticate" header here, because the user is valid,
            // even though the server has decided that they should not have access.
            setRTSPResponse("401 Unauthorized");
            delete[] (char*)username;
            return False;
        }
    }
    delete[] (char*)username;
    if (success) return True;</span>

    <span style="color:#cc0000;">// If we get here, we failed to authenticate the user.
    // Send back a "401 Unauthorized" response, with a new random nonce:</span>
    <span style="color:#ff0000;">fCurrentAuthenticator.setRealmAndRandomNonce(authDB->realm());
    snprintf((char*)fResponseBuffer, sizeof fResponseBuffer,
        "RTSP/1.0 401 Unauthorized\r\n"
        "CSeq: %s\r\n"
        "%s"
        "WWW-Authenticate: Digest realm=\"%s\", nonce=\"%s\"\r\n\r\n",
        fCurrentCSeq,
        dateHeader(),
        fCurrentAuthenticator.realm(), fCurrentAuthenticator.nonce());
    return False;</span>
}

其中第一次收到describe命令调用的如上函数走的有效代码如上述红色所述,其它无关紧要。在第二次收到describe的时候因以生成过挑战nonce,则走的流程如蓝色代码所示。


上述函数中用到的fCurrentAuthenticator定义如下

class RTSPServer
{
    class RTSPClientConnection
    {
        ...
        protected:
            ...
            Authenticator fCurrentAuthenticator; // used if access control is needed
            ...
    };
};


Authenticator则是一个用于digest鉴权的类,定义如下,

// A class used for digest authentication.
// The "realm", and "nonce" fields are supplied by the server
// (in a "401 Unauthorized" response).
// The "username" and "password" fields are supplied by the client.
class Authenticator {
public:
  Authenticator();
  Authenticator(char const* username, char const* password, Boolean passwordIsMD5 = False);
      // If "passwordIsMD5" is True, then "password" is actually the value computed
      // by md5(<username>:<realm>:<actual-password>)
  Authenticator(const Authenticator& orig);
  Authenticator& operator=(const Authenticator& rightSide);
  virtual ~Authenticator();

  void reset();
  void setRealmAndNonce(char const* realm, char const* nonce);
  void setRealmAndRandomNonce(char const* realm);
      // as above, except that the nonce is created randomly.
      // (This is used by servers.)
  void setUsernameAndPassword(char const* username, char const* password, Boolean passwordIsMD5 = False);
      // If "passwordIsMD5" is True, then "password" is actually the value computed
      // by md5(<username>:<realm>:<actual-password>)

  char const* realm() const { return fRealm; }
  char const* nonce() const { return fNonce; }
  char const* username() const { return fUsername; }
  char const* password() const { return fPassword; }

  char const* computeDigestResponse(char const* cmd, char const* url) const;
      // The returned string from this function must later be freed by calling:
  void reclaimDigestResponse(char const* responseStr) const;

private:
  void resetRealmAndNonce();
  void resetUsernameAndPassword();
  void assignRealmAndNonce(char const* realm, char const* nonce);
  void assignUsernameAndPassword(char const* username, char const* password, Boolean passwordIsMD5);
  void assign(char const* realm, char const* nonce,
	      char const* username, char const* password, Boolean passwordIsMD5);

private:
  char* fRealm; char* fNonce;
  char* fUsername; char* fPassword;
  Boolean fPasswordIsMD5;
};

在fCurrentAuthenticator.nonce()不为空即已发送过挑战后收到describe后的鉴权过程如下

1:首先parseAuthorizationHeader得到username, realm, nonce, uri以及response。这五项均不能为空,否则鉴权失败。

其中username为用户名,realm为域名,必须与server上一步发送的完全一致,nonce为server上一步发送的随机challenge,必须完全一致。uri为要访问的资源标识,response则是client通过digest计算的响应。

2:获取用户名及密码,用户名不存在则鉴权失败

        char const* password = authDB->lookupPassword(username);
        if (password == NULL) break;
        fCurrentAuthenticator.setUsernameAndPassword(username, password, authDB->passwordsAreMD5());

3:根据server知道的信息同样计算response并与收到的response比较 

        // Finally, compute a digest response from the information that we have,
        // and compare it to the one that we were given:
        char const* ourResponse
            = fCurrentAuthenticator.computeDigestResponse(cmdName, uri);
        success = (strcmp(ourResponse, response) == 0);
        fCurrentAuthenticator.reclaimDigestResponse(ourResponse);

关于计算ourResponse的函数computeDigestResponse实现如下 

char const* Authenticator::computeDigestResponse(char const* cmd, char const* url) const
{
  // The "response" field is computed as:
  //    md5(md5(<username>:<realm>:<password>):<nonce>:md5(<cmd>:<url>))
  // or, if "fPasswordIsMD5" is True:
  //    md5(<password>:<nonce>:md5(<cmd>:<url>))     
  char ha1Buf[33];
  if (fPasswordIsMD5) {
    strncpy(ha1Buf, password(), 32);
    ha1Buf[32] = '\0'; // just in case
  } else {
    unsigned const ha1DataLen = strlen(username()) + 1
      + strlen(realm()) + 1 + strlen(password());
    unsigned char* ha1Data = new unsigned char[ha1DataLen+1];
    sprintf((char*)ha1Data, "%s:%s:%s", username(), realm(), password());
    our_MD5Data(ha1Data, ha1DataLen, ha1Buf);
    delete[] ha1Data;
  }

  unsigned const ha2DataLen = strlen(cmd) + 1 + strlen(url);
  unsigned char* ha2Data = new unsigned char[ha2DataLen+1];
  sprintf((char*)ha2Data, "%s:%s", cmd, url);
  char ha2Buf[33];
  our_MD5Data(ha2Data, ha2DataLen, ha2Buf);
  delete[] ha2Data;

  unsigned const digestDataLen
    = 32 + 1 + strlen(nonce()) + 1 + 32;
  unsigned char* digestData = new unsigned char[digestDataLen+1];
  sprintf((char*)digestData, "%s:%s:%s",
          ha1Buf, nonce(), ha2Buf);
  char const* result = our_MD5Data(digestData, digestDataLen, NULL);
  delete[] digestData;
  return result;
}

本函数实现及注释十分清晰,几乎看文字描述一样了。

注释说的很明白,如果password是MD5格式,则其已经是username:realm:plainPwd的md5摘要。我们将response表示为md5(A:B:C)

则A=md5格式password 或 md5(<username>:<realm>:<明文password>)

B=nonce

C=md5(<cmd>:<uri>)

如上代码中即分别为ha1Buf,nonce(),和ha2Buf()的拼接过程了。

这里的数据全是字符串。如ha1Data="zjh:LIVE555 Streaming Media:123"  ha1Buf=md5(ha1Data)="ad68dbfd3e130bcabd2e61d19e5695fd"

ha2Data="DESCRIBE:rtsp://10.0.0.10:8554/h264ESVideoTest"   ha2Buf="1d47c98b00946762aad35c10a7e61736"

digestData则为"ad68dbfd3e130bcabd2e61d19e5695fd:73724068291777415fec38a1593568e5:1d47c98b00946762aad35c10a7e61736"

在访问同一资源uri的多次情况下,实际变动的只有中间的nonce部分。

计算之后只需将此response与client在describe命令中的response比较即可。





Live555live555源码详解(七):GenericMediaServer、RTSPServer、RTSPClient
郭老二
08-20 818
继承协作关系图 下面红色表示本博客将要介绍的三个类所在的位置: GenericMediaServer、RTSPServer、RTSPClient 14、GenericMediaServer GenericMediaServer 继承自 Medium,依赖关系图如下: 使用 GenericMediaServer 的关系图: 主要接口: /ServerMediaSession 相关接口:增、查、删、关闭 /添加 服务媒体会话 ServerMediaSession void addServerMedi
Live555: RtspServer 示例
lyy901135的博客
10-22 2525
概述 live555官方地址:http://www.live555.com/liveMedia/public/。该地址下有live555的工程包(比如:live.2019.10.20.tar.gz),以及h264/h265的测试流文件。本文以live.2019.10.20.tar.gz为例,介绍live555 rtspserver示例代码。 live555工程的目录结构如下所示,其中testPro...
RTSP系列二:RTSP协议鉴权
不定期更新关于音视频的文章
08-05 1659
1、客户端收到401之后,从WWW-Authenticate中解析出realm和nonce的值。2、客户端以用户名,密码,nonce,RTSP方法,请求的URI等信息为基础计算授权response的值,计算公式如下:1)当password为MD5编码2)当password为ANSI字符串4、服务器对客户端反馈的response进行校验,如果验证通过则对报文进行响应,否则返回401,客户端授权失败。5、客户端验证通过继续发起其他请求,所有请求都需要添加授权字段,服务器对每个请求都进行鉴权。
Live555源码分析:RTSPServer中的用户认证
Cinberella的专栏
10-23 1125
Live555源码分析@njzhujinhua[2]:RTSPServer中的用户认证 分类: 流媒体2014-05-31 23:30 372人阅读 评论(0) 收藏 举报 http://blog.youkuaiyun.com/njzhujinhua @20140601 说到鉴权,这是我多年来工作中的一部分,但这里rtsp中的认证简单多了,只是最基本的digest鉴权的策略。
live555 权限认证代码
Zero丶的专栏
07-18 1089
char* RTSPClient::createAuthenticatorString(char const* cmd, char const* url) { Authenticator& auth = fCurrentAuthenticator; // alias, for brevity if (auth.realm() != NULL && auth.user...
RTSP认证
mayue_web的博客
03-19 5928
转载:https://blog.youkuaiyun.com/machh/article/details/52121648 Rtsp认证主要分为两种: 基本认证(basic authentication)和摘要认证( digest authentication )。 基本认证是http 1.0提出的认证方案,其消息传输不经过加密转换因此存在严重的安全隐患。 摘要认证是http 1.1提出的基本认证的替代方案,...
RTSP 鉴权认证
月光游侠
11-25 3897
RTSP 的认证基本认证 basic authentication和摘要认证 digest authentication。摘要认证是 http 1.1 提出的基本认证的替代方案,其消息经过 MD5 哈希转换因此具有更高的安全性。 交互过程 DESCRIBE 环节,客户发送与不需要认证一样的请求。服务器端返回401错误,提示未认证,并且在响应报文里面返回 nonce 。 DESCRIBE Requ...
rtsp-video-server:基于Live555和FFmpeg的RTSP视频流服务器实现
02-05
在rtsp-video-server中,FFmpeg主要负责音视频编码、解码以及从各种输入源(如V4L2,Video4Linux2接口,用于访问硬件摄像头)读取和处理视频流。 项目的标签“cmake”表明构建系统使用了CMake,这是一种广泛使用的...
Live555 - 2live555代码搭建rtsp服务,将usb摄像头推给该服务(附源码)
最新发布
12-05
1. Live555库的使用:开发者需要熟悉Live555中的各个组件及其功能,比如RTSPServer、RTPSink等类的运用,这些组件共同构建起RTSP服务的基础架构。 2. Windows环境下VS2017的配置:由于本源码的运行环境特指在...
live555-rtsp-live-v4l2-master
11-05
【标题】"live555-rtsp-live-v4l2-master"是一个开源项目,主要在Ubuntu平台上运行,用于实现实时流传输协议(RTSP)与视频输入/输出设备接口(V4L2)的集成。这个项目的核心是利用live555库来创建一个RTSP服务器,...
onvif设备发现+鉴权认证+RTSP地址获取VS2010编译
04-21
onvif设备发现+鉴权认证+RTSP地址获取VS2010编译,最新的windows平台实现
Onvif设备发现+鉴权认证+RTSP地址获取VS2010.ra
03-07
Onvif设备发现+鉴权认证+RTSP地址获取VS2010.ra Onvif设备发现+鉴权认证+RTSP地址获取VS2010.ra
RTSP向ZLM流媒体服务器的推流和拉流鉴权
焕小谢的博客
02-23 7586
本篇博客的测试环境: Windows 10 + Qt 5.12.2 MSVC。 由于项目中使用了RTSP协议,为了防止别人知道我们的流地址随便就能播放观看我们的视频,所以就使用鉴权筛掉一些不合适的请求。ZLM流媒体服务器,是从ZLMediaKit中server中编译出来的,MediaServer项目非常强大支持推RTSP自动转RTMP、FLV、TS、MP4等,好用。HTTP HOOK Server:就是一个HTTPServer,用于接收ZLM的HTTP HOOK的通知,控制允不允许推流的一个角色。
RTSP视频监控EasyNVR安防视频云平台直播鉴权功能简述
EasyNVR官方技术博客
03-19 528
在EasyNVR安装包根目录easynvr.ini文件中,将 play_url_auth设为true,即可配置鉴权时效。
RTSP协议 (中文协议定义
理性的幻想
09-26 5708
本文转自  http://www.uushare.com/filedownload?user=bryanj&id=611206   E-mail:bryanj@163.com 译者: Bryan.Wong(王晶,宁夏固原) 译文版本:alpha 0.80 译文发布时间:2007-7-25 版权:本中文翻译文档之版权归王晶所有。可于非商业用途前提下自由转载,但必须保留此翻译及版权信息。
RTSP系列笔记-信令交互分析
inpilen的专栏
11-28 403
RTSP系列笔记-信令交互分析 RTSP系列笔记-几种鉴权方式 RTSP系列笔记-H264基于RTP的打包 RTSP系列笔记-H265基于RTP的打包 RTSP系列笔记-RTP基于UDP/TCP传输方式 SFX流媒体解决方案 占位,后续添加相关资料 监控平台解决方案 为了解决各行各业基于安防监控衍生出的相关设备或平台的对接需求,我们推出了集设备/平台汇聚、平台级联、设备管理、设备控制(PTZ)、报警管理、实时/历史流调阅、存储为一体的全栈解决方案 – SfxMCP汇聚平台。本方案支持各类专网/私网相关的应
live555 testRTSPClient 接收 鉴权IPC 延迟问题解决
一只猿 还是一只鱼
08-11 1396
使用live555 接收 有鉴权功能的IPC中的RTSP服务时 RTSP play 之前会有很长时间的延时 大概10秒左右 原因是我们的rtsp的url 可能是 这种形式的rtsp:\\usr:password@192.xxx.xxx.xxx\filename 也就是说rtsp的url 是包含用户名和密码的。 解决方法: RTSPClient 实例使用时sendDescribeComman...
RtspServer之LibRtsp解决闪退 新增鉴权(用户名密码登录)
cumtwys的专栏
11-29 2064
本文主要实现了RTSPServer的功能,并实现了基于Base64方式用户名密码的鉴权登录问题,并解决了librtsp的闪退问题。目前程序运行稳定支持多连接。
RTSP/Onvif协议视频平台EasyNVR鉴权功能的应用场景及意义
EasyNVR官方技术博客
05-31 499
在安防监控领域,视频监控资源的隐私性较高,尤其是一些特殊行业,比如银行、监狱、校园、生产制造、石油化工等行业,在视频流的管理上需要具备较高的安全设置。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值