提出问题
EasyNVR是一套摄像机无插件直播的流媒体服务器软件,他可以接入各种各样的摄像机,再经过转化统一输出无插件化直播的RTMP、HLS、HTTP-FLV流,同时,EasyNVR为了数据安全,提供了鉴权功能,可以配置成只有登录后才能直播观看:
但这个时候问题又来了,很多企业用户的需求是简单观看需要,数据安全也需要,简易开发更需要,这个时候就需要一套类似于单点登录这种简易登录鉴权模式,让基本的安全和功能都得到保障,于是,我们有EasyNVR的企业用户就提出了建议:
1、流媒体访问规范
Html方式,支持Chrome,IE等主流浏览器。
2、提供单通道观看
提供单通道无控件WEB视频访问页面,传递参数为摄像头ID
http://IP:33360/video/view.html?cameraid=xxx&token=xxx
3、提供全市所有视频的访问列表页面
http://IP:33360/video/index.html?token=xxx
4、提供对省级管理平台后台单点登录
在省级平台访问时,不需要再次登录。通过token值判断登录情况,token为EasyNVR"用户名+密码"进行加密完成,当token匹配直接通过系统权限验证。
分析问题
我们大概捋了一下上述的需求,基本主旨是基于EasyNVR输出的能力接口进行二次开发,屏蔽点击登录这一步,那么如何做到这一步呢,实际可以采用隐式登录的方式,举例:
- 第一步:比如EasyNVR的登录用户名密码分别是admin/admin,那么我们将“admin:admin”进行base64 encode编码成为:“YWRtaW46YWRtaW4”,那么这个编码后的字符串即为这次我们需要用到的token;
- 第二步:自定义view.html页面(或者直接改造EasyNVR的play.html页面),当用户访问http://IP:33360/video/view.html?cameraid=xxx&token=YWRtaW46YWRtaW4 时,我们将QueryString中的token首先进行base64 decode解码成“用户名:密码”的组合"admin:admin";
- 第三步:在自定义view.html页面中开始调用EasyNVR能力接口,一旦EasyNVR返回401未鉴权的错误码时,立即使用第二步base64解码出来的用户名:密码调用login接口进行登录,成功后,再继续根据cameraid进行直播、录像回放、云台控制等其他能力的调用;
- 第四步:同理,在列表页面“http://IP:33360/video/index.html?token=xxx” 也采用同样的流程方式;
按照以上的几个步骤,实际就是在EasyNVR的外面,再包了一层壳,让后续的开发者能用更加更简单的方式就可以参考和集成了;
上述步骤我们采用对用户名密码以base64编码的方式进行传输,可能安全性较低,用户很简单就可以获取到密码原文,我们也可以将“用户名:密码”的原始组合,换成“用户名:md5(密码)”的方式,这样密码原文就不会被抓取到了,view.html页面在做鉴权的时候,就省去密码md5这一步,直接调用login接口即可;
问题扩展
第三方登录:按照上述的token传值方式,实际EasyNVR还可以做类似于微博登录、QQ登录这种authToken第三方登录的功能,当然这个就复杂了,后续EasyNVR也会推出的;
单点登录:当同一个企业需要管辖的EasyNVR设备比较多的时候,如果每一个EasyNVR现场的密码都要单独再记录一次,就会显得比较麻烦,如果有一个superadmin超级管理员,超级管理员登录后,就不需要再一一登录各个EasyNVR了,这种方式后面会在我们的EasyNVS管理平台带上,屏蔽各种下级的密码,直接超级权限单点登录,即可调用全局能力;
关于EasyNVR
EasyNVR能够通过简单的网络摄像机通道配置,将传统监控行业里面的高清网络摄像机IP Camera、NVR等具有RTSP协议输出的设备接入到EasyNVR,EasyNVR能够将这些视频源的音视频数据进行拉取,转换为RTMP/HLS,进行全平台终端H5直播(Web、Android、iOS),并且EasyNVR能够将视频源的直播数据对接到第三方CDN网络,实现互联网级别的直播分发;
详细说明:http://www.easynvr.com
点击链接加入群【EasyNVR解决方案】:383501345
Copyright © EasyDarwin Team 2012-2018