2.2.3.2 密码生成

密码的生成采用： base64(hmac(input_buffer = usercombo, key = shared-secret))

凭证的密码生成基于 ‌HMAC-SHA1 算法‌，通过共享密钥（Secret Key）和动态用户名（含时间戳）usercombo 生成一次性密码

python代码示例生成临时凭证密码代码示例：

import time, hmac, hashlib, base64
# 配置参数
shared_secret = "123456" #共享密钥 
user_id = "ccc"  #用户ID# 生成时间戳
timestamp = int(time.time()) + 600
# 用时间戳+用户ID,生成临时用户名
usercombo = f"{timestamp}:{user_id}"
# 生成密码
hmac_digest = hmac.new(shared_secret.encode('utf-8'),usercombo.encode('utf-8'),hashlib.sha1).digest()
password = base64.b64encode(hmac_digest).decode('utf-8')
# 得到用户名和密码
print(f"username={usercombo}, password={password}")

2.2.3.3 共享密钥安全性加强

共享密钥(shared-secret)建议采用设置多个，保存在coturn数据库表turn_secret里面（REST API生成也是用那一批共享密钥（shared-secret）），REST API生成时候可随机选择一个共享密钥（shared-secret）生成密码，密码随着shared-secret的不同而变化，这样可以增加黑客的破解难度。

coturn在验证密码时候会遍历表中所有共享密钥，一个一个计算，跟webrtc客户端传过来的密码进行比较。

2.2.3.4 coturn验证用户登录的原理

coturn验证webrtc登录过程其实是验证签名过程。

1）webrtc客户端通过REST API 拿到上面计算的password

2）webrtc客户端内部使用MD5(user:realm:password)计算出key。然后在turn协议中使用HMAC-SHA1和key签名自己的内容，并把签名也附加到内容后面。

3）coturn收到了客户端的username、realm和数据库表中的shared-secrt实时计算出key

4）coturn使用key对客户端传过来的内容进行HMAC-SHA1签名，跟客户端的签名进行对比，如果一样则验证通过（说明： webrtc内部本身没有realm，这个realm是跟coturn登录前握手拿到的，webrtc客户端登录消息提供username、收到的realm和HMAC签名）

备注： coturn验证客户端登录过程，coturn只是去数据库拿到shared-secret列表，验证只是验证消息包的签名而已，安全保证在于shared-secret，如果shared-secret泄露，整个系统就被破解，使用多个shared-secret的目的为了增加黑客碰撞猜测shared-secret的难度，但是只要一个shared-secret被破解，那么整个系统也就被破解。