SignedPolicy

Overview

SignedPolicy는 사용자의 권한과 시간을 제한하는 모듈입니다. 예를 들어, 운영자는 인가된 사용자에게 60초 동안 접근할 수 있는 RTMP URL을 배포하고 RTMP 전송을 1시간으로 제한할 수 있습니다. 제공된 URL은 60초 후에 파기되며 전송은 1시간 후에 자동으로 중지됩니다. SignedPolicy URL을 제공받은 사용자는 제공된 URL 이외의 리소스에 접근할 수 없습니다. 이는 SignedPolicy URL이 인증되었기 때문입니다.

SignedPolicy URL은 아래와 같이 스트리밍 URL의 쿼리 스트링에 Policy와 Signature가 포함된 형태로 구성됩니다. OvenMediaEngine 설정에서 SignedPolicy가 활성화된 경우 서명이 없거나 유효하지 않은 서명이 있는 URL에 대한 접근은 허용되지 않습니다. Signature는 HMAC-SHA1을 사용하여 서명을 제외한 모든 URL을 인증합니다.

scheme://domain.com:port/app/stream?policy=<>&signature=<>

Policy

Policy는 JSON 형식이며 다음 속성을 제공합니다.

{
    "url_activate":1399711581,                                    
    "url_expire":1399721581,                                    
    "stream_expire":1399821581,                                    
    "allow_ip":"192.168.100.5/32",
    "real_ip":"111.111.111.111/32"
}

Key	Value	Description
url_expire (Required)	<Number> Milliseconds since unix epoch	URL 만료 시간 만료 시간 이후의 요청은 거부합니다.
url_activate (Optional)	<Number> Milliseconds since unix epoch	URL 활성화 시간 활성화 시간 이전의 요청은 거부합니다.
stream_expire (Optional)	<Number> Milliseconds since unix epoch	스트림 만료 시간 시간이 만료되면 전송 및 재생이 중지됩니다.
allow_ip (Optional)	<String> IPv4 CIDR	허용되는 IP 주소 범위 서버에 연결된 클라이언트의 IP 주소를 확인합니다.
real_ip (Optional)	<String> IPv4 CIDR	허용되는 IP 주소 범위 프록시 서버가 전달한 클라이언트의 IP 주소를 확인합니다.

url_expire는 URL이 유효한 시간을 의미하므로 URL이 만료되기 전에 접속하면 계속 사용할 수 있으며 시간이 만료되어도 이미 접속된 세션은 삭제되지 않습니다. 그러나 stream_expire는 재생 중이더라도 시간이 만료되면 강제로 세션을 종료합니다.

real_ip가 정책에 있는 경우 OME는 다음 순서로 값을 검색하고 확인합니다.

1. X-REAL-IP 헤더의 값

2. X-FORWARDED-FOR의 첫 번째 항목 값

3. 실제로 연결한 클라이언트의 IP

Signature

Signature는 서명 쿼리 스트링을 제외한 모든 URL을 HMAC-SHA1 인코딩하여 생성됩니다. 생성된 Signature는 Base64URL을 사용하여 인코딩되며 기존 URL의 쿼리 스트링으로 포함됩니다.

Base64URL.Encode(
    HMAC.Encrypt(
        SHA1, 
        secret_key, 
        "scheme://domain.com:port/app/stream[/file]?policy='encoded policy'>"
    )
)

Signature를 생성하기 위해 HMAC에 입력되는 URL에는 :port가 포함되어야 합니다.

서명을 생성할 때 http 포트 80, https 포트 443 또는 rtmp 포트 1935와 같은 기본 포트를 생략할 수 없습니다. 이는 OvenMediaEngine이 서명 확인을 위해 서명을 생성할 때 포트 값을 넣어 생성하기 때문입니다.

이는 IP 주소 대신 도메인 이름을 사용할 때도 동일하게 적용됩니다. 예를 들어:

• wss://stream.example.com:3334/app/stream (올바름)

• wss://stream.example.com/app/stream (잘못됨 — 서명이 일치하지 않음)

SRT 프로바이더와 함께 SignedPolicy를 사용할 때는 URL의 streamid 부분만 사용하십시오. 예: srt://myserver:9999?streamid=srt://myserver:9999/app/stream?policy=abc123

SRT 퍼블리셔와 함께 SignedPolicy를 사용할 때는 streamid를 사용하여 SignedPolicy를 생성해야 합니다.

예를 들어, srt://1.2.3.4:9998?streamid=default/app/stream URL에 대한 SignedPolicy를 생성하려면 다음 명령을 사용할 수 있습니다:

$ ./simple_signed_policy_url_generator.sh ome_is_the_best \
    srt://default/app/stream signature policy 600
[URL] srt://default/app/stream?policy=__POLICY__&signature=__SIGNATURE__
[Percent encoded URL] srt%3A//default/app/stream%3Fpolicy%3D__POLICY__%26signature%3D__SIGNATURE__

SignedPolicy가 적용되면 최종 SRT URL은 srt://1.2.3.4:9998?streamid=default%2Fapp%2Fstream%3Fpolicy%3D__POLICY__%26signature%3D__SIGNATURE__가 됩니다.

Configuration

SignedPolicy를 활성화하려면 <VirtualHost> 아래의 Server.xml에 다음 <SignedPolicy> 설정을 추가해야 합니다.

<VirtualHost>
    <SignedPolicy>
        <PolicyQueryKeyName>policy</PolicyQueryKeyName>
        <SignatureQueryKeyName>signature</SignatureQueryKeyName>
        <SecretKey>aKq#1kj</SecretKey>

        <Enables>
            <Providers>rtmp</Providers>
            <Publishers>webrtc,llhls,thumbnail</Publishers>
        </Enables>
    </SignedPolicy>
</VirtualHost>

Key	Description
PolicyQueryKeyName	정책(policy) 값을 가리키는 URL의 쿼리 스트링 키 이름입니다.
SignatureQueryKeyName	서명(signature) 값을 가리키는 URL의 쿼리 스트링 키 이름입니다.
SecretKey	HMAC-SHA1으로 인코딩할 때 사용되는 비밀 키입니다.
Enables	SignedPolicy를 활성화할 프로바이더 및 퍼블리셔의 목록입니다. 현재 프로바이더 중에서는 rtmp를 지원하며, 퍼블리셔 중에서는 WebRTC, LLHLS, Thumbnail을 지원합니다.

Make SignedPolicy URL with a script

SignedPolicy URL을 쉽게 생성할 수 있는 스크립트를 제공합니다. 스크립트는 아래 경로에서 찾을 수 있습니다.

/misc/signed_policy_url_generator.sh

스크립트 사용 방법은 다음과 같습니다:

./signed_policy_generator.sh [HMAC_KEY] [BASE_URL] [SIGNATURE_QUERY_KEY_NAME] [POLICY_QUERY_KEY_NAME] [POLICY]

예를 들어, 다음과 같이 사용할 수 있습니다:

Make SignedPolicy URL manually

향후 다양한 언어로 SignedPolicy URL 생성기 라이브러리를 제공할 예정입니다. 만약 다른 언어로 SignedPolicy URL 생성기 라이브러리를 만드셨다면 저희 GITHUB로 Pull Request를 보내주시기 바랍니다. 여러분의 오픈소스 기여에 감사드립니다.

Encoding policy

정책을 URL에 포함하려면 Base64URL로 인코딩해야 합니다.

Plain {Policy}

{"url_expire":1399721581}

Base64URL Encoded {Policy}

eyJ1cmxfZXhwaXJlIjoxMzk5NzIxNTgxfQ

Base64URL로 인코딩된 Policy는 기존 스트리밍 URL에 쿼리 스트링으로 추가됩니다. (쿼리 스트링 키는 Server.xml에 설정되어 있습니다.)

ws://192.168.0.100:3333/app/stream?policy=eyJ1cmxfZXhwaXJlIjoxMzk5NzIxNTgxfQ

Signature

Signature는 정책을 포함한 전체 URL을 HMAC(SHA-1) 방식으로 해싱하여 Base64URL로 인코딩한 후 쿼리 스트링에 포함시킵니다.

URL input to signature generation

ws://192.168.0.100:3333/app/stream?policy=eyJ1cmxfZXhwaXJlIjoxMzk5NzIxNTgxfQ

HMAC-SHA1을 사용하여 비밀 키(예제에서는 1kU^b6)와 위의 URL을 사용하여 해시를 생성합니다.

Base64URL encoded { HMAC-SHA1 <KEY : 1kU^b6> (URL) }

dvVdBpoxAeCPl94Kt5RoiqLI0YE

서명 쿼리 스트링으로 포함하면(쿼리 스트링 키는 Server.xml에 설정됨) 최종적으로 다음과 같은 SignedPolicy URL이 생성됩니다.

URL with signature

ws://192.168.0.100:3333/app/stream?policy=eyJ1cmxfZXhwaXJlIjoxMzk5NzIxNTgxfQ&signature=dvVdBpoxAeCPl94Kt5RoiqLI0YE

Usage examples

Applying SignedPolicy in OBS

스크립트를 사용하여 SignedPolicy URL을 생성합니다.

아래 예와 같이 "app"을 기준으로 URL을 분리하고, 스트림 하위의 모든 부분을 Stream Key(스트림 키)에 입력합니다.