为保证通信安全,当用户使用 Agora 服务时,Agora 需要对其鉴权。Agora 提供如下鉴权方案,你可以根据自己的实际使用场景,选择合适的鉴权方式:
| 鉴权方案 | 详情 | 适用场景 |
|---|---|---|
| App ID | 频道内所有客户端均使用 App ID 鉴权 | 低安全需求场景,如测试环境 |
| Token | 频道内所有客户端均使用 Token 鉴权 | 高安全需求场景,如生产环境 |
使用 App ID 鉴权
开发者在 Agora 控制台注册账号后,可以创建多个项目,每一个项目的唯一标识就是 App ID。如果有人非法窃取了你的 App ID,他就可以在自己的项目中使用你的 App ID。因此,只使用 App ID 鉴权,安全性较低,我们推荐只在测试环境,或对安全要求不高的场景里使用 App ID 鉴权。
进入控制台,按照屏幕提示注册账号并登录控制台。详见注册与登录。
点击左侧导航栏的
图标进入项目管理页面。
点击创建按钮。
在弹出的对话框内输入项目名称,选择 APP ID 为鉴权机制,并点击提交。
项目创建成功后,你会在项目列表中看到刚刚创建的项目。点击
查看并复制该项目对应的 App ID。
在调用 Agora 的 API 接口实现功能,如 SDK 初始化时,Agora 会需要你填入 App ID。将你获取到的 App ID 直接填入即可。
使用 Token 鉴权
Token 是一种动态密钥,通过 App ID、App 证书、用户名、频道名和 Token 有效时间戳等参数生成,安全性较高。在正式生产环境等对安全要求较高的场景中,我们推荐使用 Token 鉴权。
Token 适用范围
如下产品可以用 Token 进行鉴权:
| 产品 | 支持 Token 的版本 | 查看版本信息 |
|---|---|---|
| 语音或视频 SDK (Native) | v2.1.0 及以上 | getSdkVersion |
| 语音或视频 SDK (Web) | v2.4.0 及以上 | AgoraRTC.VERSION |
| 语音或视频 SDK (Electron) | 所有版本 | getVersion |
| 语音或视频 SDK (Unity) | 所有版本 | GetSdkVersion |
| 本地服务端录制 SDK | v2.1.0 及以上 | / |
| 云端录制录制 | 所有版本 | / |
| 实时码流加速 SDK | 所有版本 | / |
| 互动游戏 SDK | v2.2.0 及以上 | getVersion |
| 云信令(原实时消息) SDK | 所有版本 | / |
- 如果你使用的产品版本低于上表中的版本,你可以升级版本或使用 Channel Key 鉴权。
- 如果你从使用支持 Channel Key 的版本升级到使用 Token 的版本,请参考动态密钥升级指南。
1. 获取 App ID
参考上文步骤获取 App ID。
2. 启用 App 证书
App 证书是 Agora 控制台为开发项目生成的字符串。根据不同的安全需求,Agora 在项目中设置了两种 App 证书,区别如下:
- 主要证书:用于生成临时 Token 和正式 Token。启用主要证书后,你不能直接删除主要证书。
- 次要证书:只可用于生成正式 Token。启用次要证书后,你可以将次要证书与主要证书互换或删除次要证书。
如果你是第一次启用 App 证书,你需要先启用主要证书。
参考如下步骤启用主要证书:
- 如果你在创建项目时,选择 APP ID + APP 证书 + Token 为鉴权机制,Agora 会默认为你启用主要证书。主要证书会显示在编辑项目页面,你可以点击
- 如果你在创建项目时,选择 APP ID 为鉴权机制,那么你需要手动启用主要证书。在编辑项目页面,找到主要证书,点击启用。成功启用后,你可以点击
3. 生成 Token
- 在控制台的项目管理页面,点击已创建项目的
图标,打开 Token 页面。
- 输入一个频道名,例如 test,然后点击生成临时Token。临时 Token 的有效期为 24 小时。加入频道时,请确保填入的频道名与生成临时 Token 时填入的频道名一致。
在正式环境中,Token 需要在你的服务端生成。Agora 在 GitHub 提供一个开源的 AgoraDynamicKey 仓库,支持使用 C++、Java、Python、PHP、Ruby、Node.js、Go 等语言在你的服务端部署生成 Token。详细的仓库说明及如何使用 Agora 提供的示例代码快速生成 Token 请参考在服务端生成 Token。
下文以 C++ 的 API 为例,介绍生成 RTC Token 的 API 参数含义。
static std::string buildTokenWithUid(
const std::string& appId,
const std::string& appCertificate,
const std::string& channelName,
uint32_t uid,
UserRole role,
uint32_t privilegeExpiredTs = 0);| 参数 | 描述 |
|---|---|
appId |
你在 Agora 控制台创建项目时生成的 App ID。 |
appCertificate |
你的 App 证书。 |
channelName |
标识通话的频道名称,长度在 64 字节以内。以下为支持的字符集范围:
|
uid |
用户 ID,32 位无符号整数。建议设置范围:1 到 (232-1),并保证唯一性。如果不需要校验 uid,即客户端使用任何 uid 都可以加入频道或登录服务,请把 uid 设为 0。 |
role |
用户发流权限:
|
privilegeExpiredTs |
Token 过期的 Unix 时间戳,单位为秒。该值为当前时间戳和 Token 有效期的总和。比如,如果你将 privilegeExpiredTs 设为当前时间戳再加 600 秒,那么 Token 会在生成 10 分钟后过期。Token 的最大有效期为 24 小时。如果你设为 0,或超过 24 小时,则 Token 有效期依然是 24 小时。 |
4. 使用 Token
你可以参考如下步骤使用 Token:
- app 客户端向调用 Agora 的 API 接口实现功能,如加入频道时,需要向服务端申请 Token。
- 服务端生成 Token,并将该 Token 透传至 app 客户端。
- app 客户端使用生成的 Token、以及生成 Token 时使用的 UID、频道名等信息加入频道或登录服务。
- Agora 服务端接收到填入的 Token 等信息后,会验证用户是否有权限访问频道。如果验证通过,用户可以加入频道并使用相应的 Agora 服务。
升级鉴权方案
为提高项目的安全性,Agora 会逐步取消对 App ID 鉴权方案的支持。对于创建时选择 APP ID 为鉴权机制的项目,你可以参考如下步骤升级鉴权方案:
- 在控制台的项目详情页开启 App 证书。App 证书开启后,项目同时支持 App ID 和 Token 鉴权,因此不会对当前使用 App ID 鉴权的 app 客户端产生影响。
- 参考在服务端生成 Token 在你的 app 服务器上部署生成 Token 的代码。
- 修改 app 客户端的鉴权逻辑。将
joinChannel或login中的token参数填入服务端实际生成的 Token。 - 此时你可以开始对 app 客户端进行灰度升级。
- 当全部用户切换到 Token 鉴权后,在控制台中删除项目的无证书,防止用户通过 App ID 加入频道。一旦删除无证书,未使用 Token 鉴权的客户端会无法加入频道。
开发注意事项
- Token 具有有效期。在 Token 即将和已经失效后,SDK 会分别通过
onTokenPrivilegeWillExpire和onRequestToken回调提醒你在服务端生成新的 Token。生成新的 Token 后,app 客户端还需要再调用renewToken将新生成 Token 传给 SDK 或者调用joinChannel重新加入频道。 - 在控制台开启主要证书后,你还可以启用次要证书。次要证书可以用于生成正式 Token。如果主要证书存在安全风险,你可以将次要证书转换为主要证书,然后删除原来的主要证书,从而规避安全风险。详见控制台文档管理 App 证书。
各语言 API 对照表
本文中的 API 以 C++ 为例。你可以参考下表查看各 API 在不同开发语言下的名称及描述。
| C++ | Java | Objective-C | JavaScript | |
|---|---|---|---|---|
| 加入频道 | joinChannel |
joinChannel |
joinChannelByToken |
join |
| Token 即将失效回调 | onTokenPrivilegeWillExpire |
onTokenPrivilegeWillExpire |
tokenPrivilegWillExpire |
client.on("token-privilege-will-expire") |
| Token 已失效回调 | onRequestToken |
onRequestToken |
rtcEngineRequestToken |
client.on("token-privilege-did-expire") |
| 更新 Token | renewToken |
renewToken |
renewToken |
renewToken |
