🔑 TURN 서버 인증 방식

TURN 인증 메커니즘

• 'classic' long-term credentials mechanism;

  '전통적인' 장기 자격 증명 메커니즘;

• TURN REST API (a modification of the long-term mechanism, for time-limited secret-based authentication, for WebRTC applications: http://tools.ietf.org/html/draft-uberti-behave-turn-rest-00);

  TURN REST API(WebRTC 애플리케이션의 시간 제한 비밀 기반 인증을 위한 장기 메커니즘 수정: http://tools.ietf.org/html/draft-uberti-behave-turn-rest-00 ) ;

• experimental third-party oAuth-based client authorization option;

  실험적인 타사 oAuth 기반 클라이언트 인증 옵션;

장기 자격 증명 방식의 문제

• TURN 서버에 설정한 영구적인 username, password를 쓰는 방식
• 해당 정보를 클라이언트에 저장해서 사용해야 되기 때문에 브라우저에서 접근이 가능하다.
• 해당 인증정보가 유출되면 다른사람이 TURN 서버를 마음대로 사용할 수 있어서 서버 과금에 문제가 있을 듯 하다.

TURN REST API 방식

• 정해진 시간만 유효한 인증 정보를 REST API를 통해 발급하는 방식
• 시간이 지나면 인증정보가 유효하지 않아서 탈취/유출에 더 안전한 방식

인증정보 발급 방식

• username에 유닉스 시간으로 언제까지 유효한지 정합니다(예제 코드는 1시간동안 유효)
• hmac을 이전에 coturn 서버 설정으로 정했던 static-auth-secret 값으로 생성합니다
• hmac에 username을 write()
• hmac을 read() 해서 비밀번호를 생성합니다
• 해당 username과 password를 통해서 turn 서버 인증정보를 응답하면 됩니다.

const validSeconds = 1 * 60 * 60; // 1시간
const username = (Math.floor(Date.now() / 1000) + validSeconds).toString();
const hmac = createHmac('sha1', process.env.COTURN_SECRET);
hmac.setEncoding('base64');
hmac.write(username);
hmac.end();
const password = hmac.read();

유효 시간이 지난다면?

• 해당 인증정보(username, password)는 발급하고 30초간 유효
• 만약 유효시간을 30초로 설정하면 발급한지 30초 뒤에는 인증정보가 유효하지 않아서 인증에 실패

const validSeconds = 30; // 유효시간
const username = (Math.floor(Date.now() / 1000) + validSeconds).toString();
const hmac = createHmac('sha1', process.env.COTURN_SECRET);
hmac.setEncoding('base64');
hmac.write(username);
hmac.end();
const password = hmac.read();

coturn 설정 파일

• 새로운 conf

  realm=gomz.kr
  static-auth-secret=<secret>