Red5流媒体服务基于域的安全策略

文章来之：http://hi.baidu.com/3tion/blog/item/9ce3e219fdd4be4f43a9adb5.html

 

公司出于业务扩展的考虑，准备把原先基于FMS为后台的程序，改为用开源的Red5作为视频音频服务，而由Socket作为数据交换服务。
公司服务端的人忙着处理其他事情，于是公司安排我做Red5的架设工作。在网上找了些资料，Red5配置起来还是比较简单的。网上的教程有一堆，这里就不累述了。
因为flash客户端用NetConnection连接Red5的时候，是不需要像连接socket或者是http那样要提交一个<request-policy-file/>的请求去请求一个crossdomain的字符串。
而视频，音频服务在我们整个服务中所占的IO是最大的。如果Red5服务没有做任何连接的验证，其他人通过反编我们的swf文件，得到我们的red5服务的地址后，就很容易让其他人来使用我们的服务器。
对于这种问题，通常可以使用连接Red5时，要求客户端提交一个由服务端生成的密钥来做验证，但是这样就涉及到Red5和Socket直接的通信问题（或者是通过查询临时表等方法），无疑会给本来已经事情很多的服务端的同事们增加麻烦。
于是我采取通过检测flash客户端的swf文件URL这种基于域的检测方式。
首先，需要自己先写一个Red5的应用，并且把WEB-INF中red5-web.xml里面<bean id="web.handler" class="xxx.xxx.xxxx" />的class指定为你写的这个应用。
让你的应用继承ApplicationAdapter，然后重写connect
我在应用的根目录放置了一个crossdomain.properties文件。


package com._3tion.live;

import java.io.IOException;
import java.util.Arrays;
import java.util.Map;
import java.util.Properties;
import org.red5.server.adapter.ApplicationAdapter;
import org.red5.server.api.IConnection;
import org.red5.server.api.IScope;
import org.springframework.core.io.Resource;


/**
* @author 3tion
*
*/
public class Application extends ApplicationAdapter {
private static String swfUrl[];

//域检测文件名
private static final String CROSS_DOMAIN_FILE_NAME = "crossdomain.properties";

private static final String SEPARATOR = ";";


@Override
public synchronized boolean connect(IConnection conn, IScope scope,
Object[] params) {

if( swfUrl == null )
{
//检查策略文件
Resource resource = getResource(CROSS_DOMAIN_FILE_NAME);//resource的目录结构是从当前应用的根目录开始
if(resource.exists())
{
Properties props = new Properties();
try {
props.load(resource.getInputStream());
swfUrl = props.getProperty("swfUrl").toLowerCase().split(SEPARATOR);
} catch (IOException e) {
e.printStackTrace();
}

}
else //如果没有域安全文件，则视为所有域都允许通过
{
swfUrl = new String[1];
swfUrl[0] = "*";
}
}

Map<String,Object> map = conn.getConnectParams();
//检查连接参数中swfUrl的地址是否在安全文件中
if( Arrays.binarySearch(swfUrl,"*") > -1 || Arrays.binarySearch(swfUrl, map.get("swfUrl").toString().toLowerCase()) > -1 )
{
return super.connect(conn, scope, params);
}
else
{
return false;
}
}
}

这样，就可以在crossdomain.properties中控制你red5应用允许访问的文件了，如果写*，就允许任意文件访问。
允许http://test/Main.swf和http://test1/Main.swf访问。
则crossdomain.properties：
swfUrl    =    http\://test/Main.swf;\
http\://test1/Main.swf