getusersig.php 15 KB

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332
  1. <?php
  2. namespace getusersig;
  3. if ( version_compare( PHP_VERSION, '5.1.2' ) < 0 ) {
  4. trigger_error( 'need php 5.1.2 or newer', E_USER_ERROR );
  5. }
  6. class Getusersig {
  7. private $key = false;
  8. private $sdkappid = 0;
  9. /**
  10. *【功能说明】用于签发 TRTC 和 IM 服务中必须要使用的 UserSig 鉴权票据
  11. *
  12. *【参数说明】
  13. * @param string userid - 用户id,限制长度为32字节,只允许包含大小写英文字母(a-zA-Z)、数字(0-9)及下划线和连词符。
  14. * @param string expire - UserSig 票据的过期时间,单位是秒,比如 86400 代表生成的 UserSig 票据在一天后就无法再使用了。
  15. * @return string 签名字符串
  16. * @throws \Exception
  17. */
  18. public function genUserSig( $userid, $expire = 15552000 ) {
  19. return $this->__genSig( $userid, $expire, '', false );
  20. }
  21. /**
  22. *【功能说明】
  23. * 用于签发 TRTC 进房参数中可选的 PrivateMapKey 权限票据。
  24. * PrivateMapKey 需要跟 UserSig 一起使用,但 PrivateMapKey 比 UserSig 有更强的权限控制能力:
  25. * - UserSig 只能控制某个 UserID 有无使用 TRTC 服务的权限,只要 UserSig 正确,其对应的 UserID 可以进出任意房间。
  26. * - PrivateMapKey 则是将 UserID 的权限控制的更加严格,包括能不能进入某个房间,能不能在该房间里上行音视频等等。
  27. * 如果要开启 PrivateMapKey 严格权限位校验,需要在【实时音视频控制台】=>【应用管理】=>【应用信息】中打开“启动权限密钥”开关。
  28. *
  29. *【参数说明】
  30. * @param userid - 用户id,限制长度为32字节,只允许包含大小写英文字母(a-zA-Z)、数字(0-9)及下划线和连词符。
  31. * @param expire - PrivateMapKey 票据的过期时间,单位是秒,比如 86400 生成的 PrivateMapKey 票据在一天后就无法再使用了。
  32. * @param roomid - 房间号,用于指定该 userid 可以进入的房间号
  33. * @param privilegeMap - 权限位,使用了一个字节中的 8 个比特位,分别代表八个具体的功能权限开关:
  34. * - 第 1 位:0000 0001 = 1,创建房间的权限
  35. * - 第 2 位:0000 0010 = 2,加入房间的权限
  36. * - 第 3 位:0000 0100 = 4,发送语音的权限
  37. * - 第 4 位:0000 1000 = 8,接收语音的权限
  38. * - 第 5 位:0001 0000 = 16,发送视频的权限
  39. * - 第 6 位:0010 0000 = 32,接收视频的权限
  40. * - 第 7 位:0100 0000 = 64,发送辅路(也就是屏幕分享)视频的权限
  41. * - 第 8 位:1000 0000 = 200,接收辅路(也就是屏幕分享)视频的权限
  42. * - privilegeMap == 1111 1111 == 255 代表该 userid 在该 roomid 房间内的所有功能权限。
  43. * - privilegeMap == 0010 1010 == 42 代表该 userid 拥有加入房间和接收音视频数据的权限,但不具备其他权限。
  44. */
  45. public function genPrivateMapKey( $userid, $expire, $roomid, $privilegeMap ) {
  46. $userbuf = $this->__genUserBuf( $userid, $roomid, $expire, $privilegeMap, 0, '' );
  47. return $this->__genSig( $userid, $expire, $userbuf, true );
  48. }
  49. /**
  50. *【功能说明】
  51. * 用于签发 TRTC 进房参数中可选的 PrivateMapKey 权限票据。
  52. * PrivateMapKey 需要跟 UserSig 一起使用,但 PrivateMapKey 比 UserSig 有更强的权限控制能力:
  53. * - UserSig 只能控制某个 UserID 有无使用 TRTC 服务的权限,只要 UserSig 正确,其对应的 UserID 可以进出任意房间。
  54. * - PrivateMapKey 则是将 UserID 的权限控制的更加严格,包括能不能进入某个房间,能不能在该房间里上行音视频等等。
  55. * 如果要开启 PrivateMapKey 严格权限位校验,需要在【实时音视频控制台】=>【应用管理】=>【应用信息】中打开“启动权限密钥”开关。
  56. *
  57. *【参数说明】
  58. * @param userid - 用户id,限制长度为32字节,只允许包含大小写英文字母(a-zA-Z)、数字(0-9)及下划线和连词符。
  59. * @param expire - PrivateMapKey 票据的过期时间,单位是秒,比如 86400 生成的 PrivateMapKey 票据在一天后就无法再使用了。
  60. * @param roomstr - 房间号,用于指定该 userid 可以进入的房间号
  61. * @param privilegeMap - 权限位,使用了一个字节中的 8 个比特位,分别代表八个具体的功能权限开关:
  62. * - 第 1 位:0000 0001 = 1,创建房间的权限
  63. * - 第 2 位:0000 0010 = 2,加入房间的权限
  64. * - 第 3 位:0000 0100 = 4,发送语音的权限
  65. * - 第 4 位:0000 1000 = 8,接收语音的权限
  66. * - 第 5 位:0001 0000 = 16,发送视频的权限
  67. * - 第 6 位:0010 0000 = 32,接收视频的权限
  68. * - 第 7 位:0100 0000 = 64,发送辅路(也就是屏幕分享)视频的权限
  69. * - 第 8 位:1000 0000 = 200,接收辅路(也就是屏幕分享)视频的权限
  70. * - privilegeMap == 1111 1111 == 255 代表该 userid 在该 roomid 房间内的所有功能权限。
  71. * - privilegeMap == 0010 1010 == 42 代表该 userid 拥有加入房间和接收音视频数据的权限,但不具备其他权限。
  72. */
  73. public function genPrivateMapKeyWithStringRoomID( $userid, $expire, $roomstr, $privilegeMap ) {
  74. $userbuf = $this->__genUserBuf( $userid, 0, $expire, $privilegeMap, 0, $roomstr );
  75. return $this->__genSig( $userid, $expire, $userbuf, true );
  76. }
  77. public function __construct( $sdkappid, $key ) {
  78. $this->sdkappid = $sdkappid;
  79. $this->key = $key;
  80. }
  81. /**
  82. * 用于 url 的 base64 encode
  83. * '+' => '*', '/' => '-', '=' => '_'
  84. * @param string $string 需要编码的数据
  85. * @return string 编码后的base64串,失败返回false
  86. * @throws \Exception
  87. */
  88. private function base64_url_encode( $string ) {
  89. static $replace = Array( '+' => '*', '/' => '-', '=' => '_' );
  90. $base64 = base64_encode( $string );
  91. if ( $base64 === false ) {
  92. throw new \Exception( 'base64_encode error' );
  93. }
  94. return str_replace( array_keys( $replace ), array_values( $replace ), $base64 );
  95. }
  96. /**
  97. * 用于 url 的 base64 decode
  98. * '+' => '*', '/' => '-', '=' => '_'
  99. * @param string $base64 需要解码的base64串
  100. * @return string 解码后的数据,失败返回false
  101. * @throws \Exception
  102. */
  103. private function base64_url_decode( $base64 ) {
  104. static $replace = Array( '+' => '*', '/' => '-', '=' => '_' );
  105. $string = str_replace( array_values( $replace ), array_keys( $replace ), $base64 );
  106. $result = base64_decode( $string );
  107. if ( $result == false ) {
  108. throw new \Exception( 'base64_url_decode error' );
  109. }
  110. return $result;
  111. }
  112. /**
  113. * TRTC业务进房权限加密串使用用户定义的userbuf
  114. * @brief 生成 userbuf
  115. * @param account 用户名
  116. * @param dwSdkappid sdkappid
  117. * @param dwAuthID 数字房间号
  118. * @param dwExpTime 过期时间:该权限加密串的过期时间. 过期时间 = now+dwExpTime
  119. * @param dwPrivilegeMap 用户权限,255表示所有权限
  120. * @param dwAccountType 用户类型, 默认为0
  121. * @param roomStr 字符串房间号
  122. * @return userbuf string 返回的userbuf
  123. */
  124. private function __genUserBuf( $account, $dwAuthID, $dwExpTime, $dwPrivilegeMap, $dwAccountType,$roomStr ) {
  125. //cVer unsigned char/1 版本号,填0
  126. if($roomStr == '')
  127. $userbuf = pack( 'C1', '0' );
  128. else
  129. $userbuf = pack( 'C1', '1' );
  130. $userbuf .= pack( 'n', strlen( $account ) );
  131. //wAccountLen unsigned short /2 第三方自己的帐号长度
  132. $userbuf .= pack( 'a'.strlen( $account ), $account );
  133. //buffAccount wAccountLen 第三方自己的帐号字符
  134. $userbuf .= pack( 'N', $this->sdkappid );
  135. //dwSdkAppid unsigned int/4 sdkappid
  136. $userbuf .= pack( 'N', $dwAuthID );
  137. //dwAuthId unsigned int/4 群组号码/音视频房间号
  138. $expire = $dwExpTime + time();
  139. $userbuf .= pack( 'N', $expire );
  140. //dwExpTime unsigned int/4 过期时间 (当前时间 + 有效期(单位:秒,建议300秒))
  141. $userbuf .= pack( 'N', $dwPrivilegeMap );
  142. //dwPrivilegeMap unsigned int/4 权限位
  143. $userbuf .= pack( 'N', $dwAccountType );
  144. //dwAccountType unsigned int/4
  145. if($roomStr != '')
  146. {
  147. $userbuf .= pack( 'n', strlen( $roomStr ) );
  148. //roomStrLen unsigned short /2 字符串房间号长度
  149. $userbuf .= pack( 'a'.strlen( $roomStr ), $roomStr );
  150. //roomStr roomStrLen 字符串房间号
  151. }
  152. return $userbuf;
  153. }
  154. /**
  155. * 使用 hmac sha256 生成 sig 字段内容,经过 base64 编码
  156. * @param $identifier 用户名,utf-8 编码
  157. * @param $curr_time 当前生成 sig 的 unix 时间戳
  158. * @param $expire 有效期,单位秒
  159. * @param $base64_userbuf base64 编码后的 userbuf
  160. * @param $userbuf_enabled 是否开启 userbuf
  161. * @return string base64 后的 sig
  162. */
  163. private function hmacsha256( $identifier, $curr_time, $expire, $base64_userbuf, $userbuf_enabled ) {
  164. $content_to_be_signed = 'TLS.identifier:' . $identifier . "\n"
  165. . 'TLS.sdkappid:' . $this->sdkappid . "\n"
  166. . 'TLS.time:' . $curr_time . "\n"
  167. . 'TLS.expire:' . $expire . "\n";
  168. if ( true == $userbuf_enabled ) {
  169. $content_to_be_signed .= 'TLS.userbuf:' . $base64_userbuf . "\n";
  170. }
  171. return base64_encode( hash_hmac( 'sha256', $content_to_be_signed, $this->key, true ) );
  172. }
  173. /**
  174. * 生成签名。
  175. *
  176. * @param $identifier 用户账号
  177. * @param int $expire 过期时间,单位秒,默认 180 天
  178. * @param $userbuf base64 编码后的 userbuf
  179. * @param $userbuf_enabled 是否开启 userbuf
  180. * @return string 签名字符串
  181. * @throws \Exception
  182. */
  183. private function __genSig( $identifier, $expire, $userbuf, $userbuf_enabled ) {
  184. $curr_time = time();
  185. $sig_array = Array(
  186. 'TLS.ver' => '2.0',
  187. 'TLS.identifier' => strval( $identifier ),
  188. 'TLS.sdkappid' => intval( $this->sdkappid ),
  189. 'TLS.expire' => intval( $expire ),
  190. 'TLS.time' => intval( $curr_time )
  191. );
  192. $base64_userbuf = '';
  193. if ( true == $userbuf_enabled ) {
  194. $base64_userbuf = base64_encode( $userbuf );
  195. $sig_array['TLS.userbuf'] = strval( $base64_userbuf );
  196. }
  197. $sig_array['TLS.sig'] = $this->hmacsha256( $identifier, $curr_time, $expire, $base64_userbuf, $userbuf_enabled );
  198. if ( $sig_array['TLS.sig'] === false ) {
  199. throw new \Exception( 'base64_encode error' );
  200. }
  201. $json_str_sig = json_encode( $sig_array );
  202. if ( $json_str_sig === false ) {
  203. throw new \Exception( 'json_encode error' );
  204. }
  205. $compressed = gzcompress( $json_str_sig );
  206. if ( $compressed === false ) {
  207. throw new \Exception( 'gzcompress error' );
  208. }
  209. return $this->base64_url_encode( $compressed );
  210. }
  211. /**
  212. * 验证签名。
  213. *
  214. * @param string $sig 签名内容
  215. * @param string $identifier 需要验证用户名,utf-8 编码
  216. * @param int $init_time 返回的生成时间,unix 时间戳
  217. * @param int $expire_time 返回的有效期,单位秒
  218. * @param string $userbuf 返回的用户数据
  219. * @param string $error_msg 失败时的错误信息
  220. * @return boolean 验证是否成功
  221. * @throws \Exception
  222. */
  223. private function __verifySig( $sig, $identifier, &$init_time, &$expire_time, &$userbuf, &$error_msg ) {
  224. try {
  225. $error_msg = '';
  226. $compressed_sig = $this->base64_url_decode( $sig );
  227. $pre_level = error_reporting( E_ERROR );
  228. $uncompressed_sig = gzuncompress( $compressed_sig );
  229. error_reporting( $pre_level );
  230. if ( $uncompressed_sig === false ) {
  231. throw new \Exception( 'gzuncompress error' );
  232. }
  233. $sig_doc = json_decode( $uncompressed_sig );
  234. if ( $sig_doc == false ) {
  235. throw new \Exception( 'json_decode error' );
  236. }
  237. $sig_doc = ( array )$sig_doc;
  238. if ( $sig_doc['TLS.identifier'] !== $identifier ) {
  239. throw new \Exception( "identifier dosen't match" );
  240. }
  241. if ( $sig_doc['TLS.sdkappid'] != $this->sdkappid ) {
  242. throw new \Exception( "sdkappid dosen't match" );
  243. }
  244. $sig = $sig_doc['TLS.sig'];
  245. if ( $sig == false ) {
  246. throw new \Exception( 'sig field is missing' );
  247. }
  248. $init_time = $sig_doc['TLS.time'];
  249. $expire_time = $sig_doc['TLS.expire'];
  250. $curr_time = time();
  251. if ( $curr_time > $init_time+$expire_time ) {
  252. throw new \Exception( 'sig expired' );
  253. }
  254. $userbuf_enabled = false;
  255. $base64_userbuf = '';
  256. if ( isset( $sig_doc['TLS.userbuf'] ) ) {
  257. $base64_userbuf = $sig_doc['TLS.userbuf'];
  258. $userbuf = base64_decode( $base64_userbuf );
  259. $userbuf_enabled = true;
  260. }
  261. $sigCalculated = $this->hmacsha256( $identifier, $init_time, $expire_time, $base64_userbuf, $userbuf_enabled );
  262. if ( $sig != $sigCalculated ) {
  263. throw new \Exception( 'verify failed' );
  264. }
  265. return true;
  266. } catch ( \Exception $ex ) {
  267. $error_msg = $ex->getMessage();
  268. return false;
  269. }
  270. }
  271. /**
  272. * 带 userbuf 验证签名。
  273. *
  274. * @param string $sig 签名内容
  275. * @param string $identifier 需要验证用户名,utf-8 编码
  276. * @param int $init_time 返回的生成时间,unix 时间戳
  277. * @param int $expire_time 返回的有效期,单位秒
  278. * @param string $error_msg 失败时的错误信息
  279. * @return boolean 验证是否成功
  280. * @throws \Exception
  281. */
  282. public function verifySig( $sig, $identifier, &$init_time, &$expire_time, &$error_msg ) {
  283. $userbuf = '';
  284. return $this->__verifySig( $sig, $identifier, $init_time, $expire_time, $userbuf, $error_msg );
  285. }
  286. /**
  287. * 验证签名
  288. * @param string $sig 签名内容
  289. * @param string $identifier 需要验证用户名,utf-8 编码
  290. * @param int $init_time 返回的生成时间,unix 时间戳
  291. * @param int $expire_time 返回的有效期,单位秒
  292. * @param string $userbuf 返回的用户数据
  293. * @param string $error_msg 失败时的错误信息
  294. * @return boolean 验证是否成功
  295. * @throws \Exception
  296. */
  297. public function verifySigWithUserBuf( $sig, $identifier, &$init_time, &$expire_time, &$userbuf, &$error_msg ) {
  298. return $this->__verifySig( $sig, $identifier, $init_time, $expire_time, $userbuf, $error_msg );
  299. }
  300. }