2.2.3.2 密碼生成

密碼的生成采用： base64(hmac(input_buffer = usercombo, key = shared-secret))

憑證的密碼生成基于 ?HMAC-SHA1 算法?，通過共享密鑰（Secret Key）和動態用戶名（含時間戳）usercombo 生成一次性密碼

python代碼示例生成臨時憑證密碼代碼示例：

import time, hmac, hashlib, base64
# 配置參數
shared_secret = "123456" #共享密鑰 
user_id = "ccc"  #用戶ID# 生成時間戳
timestamp = int(time.time()) + 600
# 用時間戳+用戶ID,生成臨時用戶名
usercombo = f"{timestamp}:{user_id}"
# 生成密碼
hmac_digest = hmac.new(shared_secret.encode('utf-8'),usercombo.encode('utf-8'),hashlib.sha1).digest()
password = base64.b64encode(hmac_digest).decode('utf-8')
# 得到用戶名和密碼
print(f"username={usercombo}, password={password}")

2.2.3.3 共享密鑰安全性加強

共享密鑰(shared-secret)建議采用設置多個，保存在coturn數據庫表turn_secret里面（REST API生成也是用那一批共享密鑰（shared-secret）），REST API生成時候可隨機選擇一個共享密鑰（shared-secret）生成密碼，密碼隨著shared-secret的不同而變化，這樣可以增加黑客的破解難度。

coturn在驗證密碼時候會遍歷表中所有共享密鑰，一個一個計算，跟webrtc客戶端傳過來的密碼進行比較。

2.2.3.4 coturn驗證用戶登錄的原理

coturn驗證webrtc登錄過程其實是驗證簽名過程。

1）webrtc客戶端通過REST API 拿到上面計算的password

2）webrtc客戶端內部使用MD5(user:realm:password)計算出key。然后在turn協議中使用HMAC-SHA1和key簽名自己的內容，并把簽名也附加到內容后面。

3）coturn收到了客戶端的username、realm和數據庫表中的shared-secrt實時計算出key

4）coturn使用key對客戶端傳過來的內容進行HMAC-SHA1簽名，跟客戶端的簽名進行對比，如果一樣則驗證通過（說明： webrtc內部本身沒有realm，這個realm是跟coturn登錄前握手拿到的，webrtc客戶端登錄消息提供username、收到的realm和HMAC簽名）

備注： coturn驗證客戶端登錄過程，coturn只是去數據庫拿到shared-secret列表，驗證只是驗證消息包的簽名而已，安全保證在于shared-secret，如果shared-secret泄露，整個系統就被破解，使用多個shared-secret的目的為了增加黑客碰撞猜測shared-secret的難度，但是只要一個shared-secret被破解，那么整個系統也就被破解。