是长期凭证吗？认证机制*要求* WebRTC与TURN服务器一起使用？

Question

我打算为一个带有coturn的WebRTC应用程序运行我自己的TURN服务 - https://code.google.com/p/coturn/。手册说明了身份验证和凭据：

   ...

   -a, --lt-cred-mech
          Use long-term credentials mechanism (this one you need for WebRTC usage).  This option can be used with
          either flat file user database or PostgreSQL DB or MySQL DB or MongoDB or Redis for user keys storage.

   ...

此客户端代码示例还建议TURN需要凭据：

// use google's ice servers
var iceServers = [
  { url: 'stun:stun.l.google.com:19302' }
  // { url: 'turn:192.158.29.39:3478?transport=udp',
  //   credential: 'JZEOEt2V3Qb0y27GRntt2u2PAYA=',
  //  username: '28224511:1379330808'
  // },
  // { url: 'turn:192.158.29.39:3478?transport=tcp',
  //   credential: 'JZEOEt2V3Qb0y27GRntt2u2PAYA=',
  //   username: '28224511:1379330808'
  // }
];

• 他们总是需要吗？ （可以在没有任何身份验证机制的情况下运行Coturn，但是从手册页中不清楚WebRTC是否严格必需）
• 如果需要，我可以创建一组凭据并将其用于所有客户端吗？ （客户端代码示例显然只是为了演示，但它似乎建议您可以将凭据硬编码到客户端代码中。如果这不可能/不推荐，那么将适当的凭据传递给客户代码？）

Answer 1

经过测试后，似乎需要传递凭证 才能使客户端代码正常工作（否则会在控制台中出现错误）。

离开＆＃34; no-auth＆＃34;在Coturn中启用了选项（或者同时保留了lt-cred-mech和st-cred-mech），但仍然在应用程序JS中传递凭据也不起作用，因为TURN消息以某种方式使用密码凭证进行签名。如果Coturn在非身份验证模式下运行时，可能不希望客户端发送身份验证详细信息，因此它不知道如何解释这些消息。

<强>解决方案

启用lt-cred-mech并将用户名和密码硬编码到Coturn配置文件和应用程序的JS中似乎都能正常工作。有注释掉的静态用户＆＃34; Coturn配置文件中的条目 - 使用普通密码格式而不是密钥格式。

Coturn config（这是我使用它的整个配置文件）：

fingerprint
lt-cred-mech
#single static user details for long-term authentication:
user=username1:password1
#your domain here:
realm=mydomain.com

来自网络应用JS的ICE服务器列表：

var iceServers = [
    {
         url: 'turn:123.234.123.23:3478', //your TURN server address here
         credential: 'password1', //actual hardcoded value
         username: 'username1' //actual hardcoded value
    }
];

显然这不会为TURN服务器提供实际的安全性，因为任何人都可以看到凭据（因此任何人都可以使用它作为中继来消耗带宽和处理器时间）。

总结：

• 是的，WebRTC需要长期身份验证才能使用TURN。
• 是的，您似乎只需硬编码一组凭据供所有人使用 - 但两个客户端使用相同的凭据同时获得分配时，并不感到烦恼。
• 以最小的麻烦获得适当安全性的一种可能解决方案是TURN REST API，Coturn支持。