Flash Media Server：如何全面保护流？

Question

我正在FMS上开发一个轻量级的保护机制。目前，我可以使用主服务器提供的 SSO 令牌对用户进行身份验证。然而，验证SSO Token需要另一台服务器的WebService/RemoteObject，这对于大量并发用户来说是昂贵且不现实的。因此，我为每个成功验证的用户创建了一个会话，将会话 ID 返回给用户，用户可以使用它进行进一步的连接。

在这个解决方案中我要担心的是会话劫持攻击。如果冒名顶替者成功嗅探到我客户的请求，他就可以使用该会话 ID 来获取我的流。为了防止这种情况，我有两个解决方案：第一，每个客户端将创建两个到服务器的连接，一个用于控制消息（例如NetConnection.call函数）的SSL连接，一个用于流数据。另一个是创建一个安全的 RTMPE 通道来获取流。两者都需要更多的处理能力来实现（后者多15%，不知道前者是多少）。

对于我的问题有更好的解决方案吗？

Answer 1

如果 FMS 和 SSO 服务器之间没有通信，就无法防止会话令牌被劫持。

您至少可以做的是，当您的客户端通过 SSO 端时创建一个单次使用令牌，存储它，并且当玩家连接到 FMS 时，您使该令牌失效。您可以使用 redis+nginx 设置来处理这些令牌，让您的 SSO 将它们存储在那里，并在 FMS 上编写一个插件以使它们过期，而不是使用 WebServices 或 RemoteObjects。

快乐编码！ 8）