RTSP-Simple-Server中认证机制变更导致的401错误分析与解决方案

问题背景

在使用RTSP-Simple-Server(现更名为MediaMTX)进行视频流传输时，用户报告了一个关于认证机制的重要变更问题。具体表现为：在1.4.2版本中正常工作的认证配置，在升级到1.6.0版本后出现了401未授权错误。

版本差异分析

通过对比日志可以发现两个关键差异点：

1. 认证机制变更：1.6.0版本中废弃了原有的readUser和readPass配置方式，引入了全新的全局认证系统authInternalUsers。

2. 默认行为变化：1.6.0版本中，当未显式设置ips参数时，会默认使用127.0.0.1作为允许访问的IP地址，这限制了只能从本地主机访问。

技术细节解析

旧版认证机制(1.4.2及之前)

旧版本使用简单的路径级别认证配置：

pathDefaults:
  readUser: sha256哈希值
  readPass: sha256哈希值

这种方式虽然简单，但缺乏灵活性，无法实现复杂的权限控制。

新版认证机制(1.6.0及之后)

新版引入了更强大的全局认证系统，主要特点包括：

1. 用户权限分离：可以定义多个用户，每个用户拥有不同的权限
2. IP访问控制：可以限制特定IP范围的访问
3. 细粒度权限：支持publish(发布)和read(读取)两种基本权限

解决方案

正确的配置方式应如下所示：

authInternalUsers:
- user: any  # 允许匿名发布
  pass: ""
  ips: []    # 允许所有IP
  permissions:
  - action: publish
- user: viewer1  # 需要认证的读取用户
  pass: "password123"
  ips: []
  permissions:
  - action: read

关键配置说明

1. ips参数：必须显式设置为空数组[]以允许所有IP访问，否则会默认限制为localhost
2. 权限分离：publish和read权限需要分别配置
3. 密码格式：支持明文或sha256哈希值

最佳实践建议

1. 生产环境安全：建议使用sha256哈希密码而非明文
2. IP限制：在公网环境应合理配置ips参数限制访问来源
3. 权限最小化：遵循最小权限原则，只授予必要的权限
4. 版本升级检查：升级时需仔细检查认证相关配置变更

总结

RTSP-Simple-Server在1.6.0版本中对认证系统进行了重大改进，提供了更强大和灵活的权限控制能力。开发者在升级时需要注意配置方式的变更，特别是默认IP限制行为的变化。通过合理配置新的authInternalUsers系统，可以实现更安全的流媒体服务访问控制。