5-Onvif协议:IPC客户端之鉴权

最新推荐文章于 2024-09-04 23:58:49 发布
最新推荐文章于 2024-09-04 23:58:49 发布
阅读量2k 收藏 52
点赞数 49
分类专栏: Onvif学习 文章标签: c++ 开源协议 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56438859/article/details/139525257
版权

文章目录

参考文章

https://blog.csdn.net/benkaoya/article/details/72477536

https://blog.csdn.net/zhizhengguan/article/details/109325688

一、简介

  • onvif规定,有些接口需要鉴权,有些接口不需要鉴权。例如onvif规定GetDeviceInformation接口时需要鉴权的。(下图为main函数流程分析,标红的api都需要实现鉴权)

    在这里插入图片描述

  • 市面上有些的IPC(网络摄像头),并没有严格的按照ONVIF规范执行,造成客户端不携带鉴权信息也能成功调用某些接口。

    在这里插入图片描述

二、onvif哪些接口需要认证

onvif规定有些接口需要鉴权,有些接口不需要鉴权。那么该怎么知道哪些接口需要认证呢?

在官网的ONVIF-Core-Specification.pdf文档有详细的规定,文档的路径为https://www.onvif.org/specs/core/ONVIF-Core-Specification.pdf,在该文档的**[Access classes for service requests]**章节中有接口访问权限的相关规定,如下图所示:

在这里插入图片描述
在这里插入图片描述

「PRE_AUTH」的规定是:The service shall not require user authentication. Example: GetEndpointReference.(该服务不需要用户认证。例如:GetEndpointReference,即客户端调用该接口时,不需要携带用户名、密码认证信息)。

拿GetServices接口举个例子,在ONVIF-Core-Specification.pdf文档中找到GetServices接口定义(如下图所示),会有Access Class: PRE_AUTH的说明,表明客户端调用该接口时,不需要携带用户名、密码认证信息。

在这里插入图片描述

再看看GetDeviceInformation接口规定(如下图所示),Access Class: READ_SYSTEM,说明客户端调用该接口是需要进行认证。

在这里插入图片描述

三、相关数据结构和函数

生成gSOAP框架的代码,项目文件结构和解决编译报错可以参考佬的这篇文章:

https://blog.csdn.net/zhizhengguan/article/details/109325688

1.数据结构

定义在client\application\client.cpp:

鉴权信息包括用户名、密码

USERNAME

PASSWORD

static const char * USERNAME;
static const char * PASSWORD;

2.函数

soap_wsse_add_UsernameTokenDigest()

函数的声明在client\application\wsseapi.h

SOAP_FMAC1 int SOAP_FMAC2 soap_wsse_add_UsernameTokenDigest(struct soap *soap, const char *id, const char *username, const char *password);

函数的定义在client\application\wsseapi.cpp

/**
@fn int soap_wsse_add_UsernameTokenDigest(struct soap *soap, const char *id, const char *username, const char *password)
@brief Adds UsernameToken element for digest authentication.
@param soap context
@param[in] id string for signature referencing or NULL
@param[in] username string
@param[in] password string
@return SOAP_OK

Computes SHA1 digest of the time stamp, a nonce, and the password. The digest
provides the authentication credentials. Passwords are NOT sent in the clear.

@note
This release supports the use of at most one UsernameToken in the header.
*/
SOAP_FMAC1
int
SOAP_FMAC2
soap_wsse_add_UsernameTokenDigest(struct soap *soap, const char *id, const char *username, const char *password)
{
  return soap_wsse_add_UsernameTokenDigest_at(soap, id, username, password, time(NULL));
}

/**
@fn int soap_wsse_add_UsernameTokenDigest_at(struct soap *soap, const char *id, const char *username, const char *password, time_t when)
@brief Adds UsernameToken element for digest authentication.
@param soap context
@param[in] id string for signature referencing or NULL
@param[in] username string
@param[in] password string
@param[in] when the time stamp to use for the digest hash
@return SOAP_OK

Computes SHA1 digest of the time stamp, a nonce, and the password. The digest
provides the authentication credentials. Passwords are NOT sent in the clear.

@note
This release supports the use of at most one UsernameToken in the header.
*/
SOAP_FMAC1
int
SOAP_FMAC2
soap_wsse_add_UsernameTokenDigest_at(struct soap *soap, const char *id, const char *username, const char *password, time_t when)
{
  _wsse__Security *security = soap_wsse_add_Security(soap);
  const char *created = soap_dateTime2s(soap, when);
  char HA[SOAP_SMD_SHA1_SIZE], HABase64[29];
  char nonce[SOAP_WSSE_NONCELEN], *nonceBase64;
  DBGFUN2("soap_wsse_add_UsernameTokenDigest", "id=%s", id?id:"", "username=%s", username?username:"");
  /* generate a nonce */
  soap_wsse_rand_nonce(nonce, SOAP_WSSE_NONCELEN);
  nonceBase64 = soap_s2base64(soap, (unsigned char*)nonce, NULL, SOAP_WSSE_NONCELEN);
  /* The specs are not clear: compute digest over binary nonce or base64 nonce? */
  /* compute SHA1(created, nonce, password) */
  calc_digest(soap, created, nonce, SOAP_WSSE_NONCELEN, password, HA);
  /* Hm...?
     calc_digest(soap, created, nonceBase64, strlen(nonceBase64), password, HA);
   */
  soap_s2base64(soap, (unsigned char*)HA, HABase64, SOAP_SMD_SHA1_SIZE);
  /* populate the UsernameToken with digest */
  soap_wsse_add_UsernameTokenText(soap, id, username, HABase64);
  /* populate the remainder of the password, nonce, and created */
  security->UsernameToken->Password->Type = (char*)wsse_PasswordDigestURI;
  security->UsernameToken->Nonce = (struct wsse__EncodedString*)soap_malloc(soap, sizeof(struct wsse__EncodedString));
  security->UsernameToken->Salt = NULL;
  security->UsernameToken->Iteration = NULL;
  if (!security->UsernameToken->Nonce)
    return soap->error = SOAP_EOM;
  soap_default_wsse__EncodedString(soap, security->UsernameToken->Nonce);
  security->UsernameToken->Nonce->__item = nonceBase64;
  security->UsernameToken->Nonce->EncodingType = (char*)wsse_Base64BinaryURI;
  security->UsernameToken->wsu__Created = soap_strdup(soap, created);
  return SOAP_OK;
}

鉴权信息包括用户名、密码,在HTTP传输过程中不能是明文,有一定的加密算法。

如果不清楚这个加密算法怎么回事,那么可以利用gSOAP源码中的soap_wsse_add_UsernameTokenDigest函数,可以轻松实现鉴权。要使用该函数,需要注意以下几点:

  1. 要使用soap_wsse_add_UsernameTokenDigest函数进行授权,在soapcpp2 生成ONVIF代码框架之前,要在onvif.h头文件开头加入(注意是import而不是include):

    #import “wsse.h”

  2. 依赖gSOAP中的这些源码:wsseapi.c、wsseapi.h、mecevp.c、mecevp.h、smdevp.c、smdevp.h、threads.c、threads.h、dom.c,这些文件在gsoap目录和gsoap/plugin目录下,将这些文件拷贝到你的项目中,以便参与编译。

    打开wsse.h,可以看到相应依赖
    在这里插入图片描述
    注意:依赖一定要自己去看,否则会出现一大堆未定义引用。

  3. 在加入上面说的.c和.h文件后,结果编译失败,提示找不到「openssl/evp.h」文件:

    smdevp.h(54): fatal error C1083: 无法打开包括文件:“openssl/evp.h”: No such file or directory

    究其原因,wsse系列函数依赖OpenSSL库,我们得去OpenSSL官网下载源代码来编译、安装,里面有我们需要的库文件和头文件。

四、鉴权功能实现

void setUSERNAME(const char *username)
{
    USERNAME = username;

#if DEBUG
    std::cout << "-------------------------setUSERNAME-------------------------" << "\n";
    std::cout << "USERNAME = "<< USERNAME << "\n";
    std::cout << "-------------------------------------------------------------" << "\n";
#endif

}

void setPASSWORD(const char *password)
{
    PASSWORD = password;

#if DEBUG
    std::cout << "-------------------------setPASSWORD-------------------------" << "\n";
    std::cout << "PASSWORD = "<< password << "\n";
    std::cout << "-------------------------------------------------------------" << "\n";
#endif

}

/************************************************************************
**函数:ONVIF_SetAuthInfo
**功能:设置认证信息
**参数:
        [in] soap     - soap环境变量
        [in] username - 用户名
        [in] password - 密码
**返回:
        0表明成功,非0表明失败
**备注:
************************************************************************/
static int ONVIF_SetAuthInfo(struct soap *soap, const char *username, const char *password)
{
    int result = 0;

            SOAP_ASSERT(nullptr != username);
            SOAP_ASSERT(nullptr != password);

    result = soap_wsse_add_UsernameTokenDigest(soap, NULL, username, password);
    SOAP_CHECK_ERROR(result, soap, "add_UsernameTokenDigest");

    EXIT:

    return result;
}
creep827
关注
专栏目录
Onvif协议客户端开发(12)--设置OSD
数据迷宫
03-15 317
IPC的OSD信息一般有3个位置可以添加,其中一个为显示时间信息,具体OSD的对应需要根据获取到的OSD的token信息进行对应,添加的OSD的信息如果有中文则需要将中文的编码转为为Unicode格式的字符,否则可能会出现乱问的问题。
Onvif协议客户端开发(11)--获取OSD
数据迷宫
03-15 177
通过gsoap代码设置OSD时就必须先获取对应的OSD信息,其中最主要的就是获取需要配置OSD的token句柄,只有获取对应的token才可以通过对应的token去设置、修改IPC上的OSD信息。2.1 获取对应的OSD token。
ONVIF协议网络摄像机(IPC客户端程序开发(1):专栏开篇
热门推荐
许振坪的专栏
05-19 7万+
ONVIF协议网络摄像机(IPC客户端程序开发》专栏,学ONVIF,跟我来!!!
onvif协议鉴权、云台控制demo,codeblock工程
09-03
基于gsoap2.8.70,onvif协议鉴权及云台操作,不包含设备发现
onvif协议
janet110617的博客
08-23 1961
本文介绍了onvif协议,包括onvif概念介绍、onvif规范的实现机制,其中讲解了Web service、WSDL、SOAP等概念理解,由浅入深了解onvif协议
onvif应用--IPC鉴权(认证)
最新发布
janet110617的博客
09-04 1626
本文介绍了onvifIPC客户端开发中的鉴权(认证)的原理、如何实现鉴权、利用ONVIF Device Test Tool进行测试及其涉及的相关函数
ONVIF WS-UsernameToken鉴权
weixin_44401585的博客
11-29 2256
WS-UsernameToken鉴权思路、分析及实现
Onvif鉴权实现方式
快活林高老大--编码30年
09-30 1万+
今天终于调试通过了鉴权过程,详细记录如下: 1原理 在ONVIF_WG-APG-Application_Programmer's_Guide.pdf文档中第6章描述了onvif加密方式。Soap通信的验证机制是WS_UsernameToken,流加密的方式是HTTPS。本文只研究了WS_UsernameToken方式。 我们知道onvif的用户验证是基于WS_Usern
onvif协议控制之鉴权方式
sinat_33285127的博客
11-12 5781
onvif协议控制之鉴权方式 onvif协议内部应当支持两种鉴权方式,第一种名为http鉴权,第二种为WS-UsernameToken令牌验证。本文将着重介绍这两种鉴权方式 http鉴权方式 认证协议与首部 HTTP 请求通过增加特定头部信息,为不同的认证协议提供了一个可扩展框架。 步骤 首部 描述 方法状态 请求 第一条没有认证信息 GET 服务器返回 WWW-Authen...
SOAP学习之二:全网最简单的ONVIF协议IPC云台PTZ控制VC++代码--不使用gsoap!!
weixin_48341920的博客
11-13 2058
程序使用VC++实现了单独的PTZ控制,代码量非常少,个人认为是目前我能看到的唯一使用 soap toolkit实现的PTZ控制代码。全部代码展现,希望对搞IPC的有所帮助
Qt/C++音视频开发28-Onvif信息获取
Qt/C++视频监控/推流/物联网/大屏系统/自定义控件/UI定制/输入法
10-06 2044
一、前言 严格意义上来说,Onvif处理这块算不上音视频开发的内容,为何重新整理放在音视频开发这个类别,主要是为了方便统一管理,而且在视频监控处理这块,通过onvif来拿到音视频流这是必经的阶段,也算是搭边的东西。上一篇文章写的是onvif设备搜索,搜到这些设备以后,第一件事情就是要对设备信息获取一下,比如获取视频流地址,配置套件信息、码流信息、分辨率大小等,这些信息的获取根据具体的需要去获取,也没有必要全部获取,毕竟很可能大部分的信息用不到,按需编码永远都是第一原则,第二原则才是考虑拓展性和稳定性,如果基
Onvif开发框架(C++)带鉴权
07-14
Onvif开发框架(C++)带鉴权
onvif 协议
11-12
onvif 协议
onvif设备发现+鉴权认证+RTSP地址获取VS2010编译
04-21
onvif设备发现+鉴权认证+RTSP地址获取VS2010编译,最新的windows平台实现
Onvif设备发现+鉴权认证+RTSP地址获取VS2010.ra
03-07
Onvif设备发现+鉴权认证+RTSP地址获取VS2010.ra Onvif设备发现+鉴权认证+RTSP地址获取VS2010.ra
onvif digest 鉴权过程分析
驭鲸·环球的博客
08-16 1928
头信息(onvif 设备生成的随机数),客户端拿到该数据后根据下面公式计算 digest,再次请求,同时携带计算的 digest 数据即可成功请求。客户端第一次请求 onvif 设备,如 onvif 设备验证 Authorization 失败,则响应 401,同时响应头包含。实际调用直接在 http 中添加 Authorization header 即可。digest 计算部分如下。......
Onvif协议IPC客户端开发之鉴权
OceanStar的博客
10-28 4371
引言 Onvif规定,有些接口需要鉴权,有些节点不需要鉴权。那么,怎么知道哪些接口需要认证呢? ONVIF哪些接口需要认证 在官网的ONVIF Core Specification文档中有详细的规定,如Version 16.12的版本为《ONVIF-Core-Specification-v1612.pdf》。在该文档的「Access classes for service requests」章节中有接口访问权限的相关规定,如下图所示。比如「PRE_AUTH」的规定是:The service shall no
ONVIF协议
dengyidan1042的博客
03-27 454
一、理解 1.1 技术理解 ONVIF = 服务端 + 客户端 =(Web Services + RTSP)+ 客户端 = ((WSDL + SOAP) + RTSP) + 客户端 WSDL是服务端用来向客户端描述自己实现哪些请求、发送请求时需要带上哪些参数xml组织格式;SOAP是客户端向服务端发送请求时的参数的xml组织格式 Web Services实现摄像头控制(比如一些参...
android onvif 鉴权
08-26
Android Onvif鉴权是指在Android设备上进行Onvif协议通信时的身份验证和访问控制。 首先,Onvif是一种开放的网络视频接口标准,旨在提供设备和客户端之间的互操作性。在Android设备上使用Onvif时,鉴权是非常重要的,以确保只有经过授权的用户才能访问设备。 在Android上进行Onvif鉴权时,通常需要使用用户名和密码进行身份验证。这些凭据可以用于验证用户是否具有访问权限。当用户尝试连接到设备时,首先会提供用户名和密码进行身份验证,如果凭据正确,才能继续访问设备的功能和服务。 鉴权的另一个重要方面是访问控制。通过鉴权,管理员可以管理用户的访问权限。在Android设备上,可以设置不同级别的用户权限,例如管理员、操作员和观察者。管理员有最高权限,可以访问和控制设备的所有功能,操作员具有较低的权限,只能执行一部分功能,而观察者则只能查看设备上的视频流。通过访问控制,可以确保只有经过授权的用户能够在Android设备上执行特定的操作。 在实现Android Onvif鉴权时,开发者需要使用支持Onvif协议的库和API。这些库和API提供了与Onvif设备进行通信的各种功能和方法,包括鉴权和访问控制。 总而言之,Android Onvif鉴权是确保在Android设备上进行Onvif协议通信时进行身份验证和访问控制的过程。它通过用户名和密码进行身份验证,并使用访问控制来管理用户权限,以确保只有经过授权的用户才能访问设备的功能和服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值