PHP如何限制视频下载权限_PHP限制视频下载权限措施【管控】

PHP生成带时效签名的视频URL需经stream.php中转校验exp过期时间与sig签名,分块输出视频流并支持Range请求,同时Web服务器须禁用视频目录直连。

php如何限制视频下载权限_php限制视频下载权限措施【管控】

用 PHP 生成带时效签名的视频 URL

直接暴露 video.mp4 这类静态路径,等于放弃所有权限控制。真正可行的方式是让视频资源不通过文件系统直连,而是经由 PHP 脚本中转,并在 URL 中嵌入一次性、有时效的签名。

核心逻辑:用户请求时,PHP 生成类似 /stream.php?file=lesson123.mp4&exp=1717025400&sig=abc123... 的链接,stream.php 收到后验证 exp 是否过期、sig 是否由服务端密钥正确签出,仅当全部通过才读取并输出视频流。

  • exp 建议设为 Unix 时间戳,精确到秒,有效期控制在 5–30 分钟内足够
  • 签名算法推荐 hash_hmac('sha256', $file . '|' . $exp, $secret_key),避免拼接漏洞
  • 务必在 stream.php 开头调用 header('Content-Type: video/mp4')header('Accept-Ranges: bytes'),否则浏览器无法拖拽播放
  • 大视频必须用 fopen() + fread() 分块输出,禁用 readfile(),否则内存溢出
header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Cache-Control: no-store, no-cache');

$file = $_GET['file'] ?? '';
$exp = (int)($_GET['exp'] ?? 0);
$sig = $_GET['sig'] ?? '';

if ($exp < time() || !hash_equals(hash_hmac('sha256', $file . '|' . $exp, 'your_secret_key'), $sig)) {
    http_response_code(403);
    exit;
}

$path = '/var/www/videos/' . basename($file);
if (!is_file($path)) {
    http_response_code(404);
    exit;
}

$fp = fopen($path, 'rb');
if (!$fp) {
    http_response_code(500);
    exit;
}

while (!feof($fp) && connection_status() == CONNECTION_NORMAL) {
    echo fread($fp, 8192);
    flush();
}
fclose($fp);

禁止 Nginx/Apache 直接访问视频目录

即使 PHP 层做了签名校验,如果 Web 服务器配置允许绕过 PHP 直接访问 /videos/ 下的文件,所有权限控制就形同虚设。

常见错误是把视频放在 public/htdocs/ 下却没加限制规则。

立即学习PHP免费学习笔记(深入)”;

  • Nginx 中,在对应 server 块里添加:location ^~ /videos/ { deny all; }
  • Apache 中,在 .htaccess 或虚拟主机配置里写: Require all denied
  • 更安全的做法是把视频目录放到 Web 根目录之外,例如 /var/www/private/videos/,彻底隔绝 HTTP 直连可能

防止 Referer 绕过和盗链(辅助手段)

单纯依赖 Referer 检查非常脆弱,但作为辅助策略可增加爬虫和简单盗链的成本。

锐新办公用品行业建站系统5.0

锐新办公用品行业建站系统5.0

锐新建站系统(智能建站型),集易用性和强大功能为一体,具有同行业中独有的精美网站模版,灵活的栏目管理和文章、图文、下载、广告、在线客服、等管理功能,支持阅读权限控制和会员权限管理,可用于创建各种企业网站的需求。一、网站功能模块介绍会员管理功能 - 会员注册、登录、重设密码、会员资料修改 权限控制功能 - 针对会员类型或单个会员设置阅读、发布权限 栏目管理功能 - 自由创建栏目频道,设置栏目名称和显

下载

stream.php 中加入 Referer 白名单判断,只允许来自你自己的域名或特定 CDN 域名的请求:

  • 获取来源:$referer = $_SERVER['HTTP_REFERER'] ?? ''
  • 白名单匹配建议用 parse_url($referer, PHP_URL_HOST) 提取 host 后严格比对,不要用 strpos 或模糊匹配
  • 注意:移动端 WebView、某些隐私浏览器、HTTPS→HTTP 跳转都会清空 Referer,不能作为唯一验证依据

注意 Range 请求与断点续传支持

现代浏览器播放视频时默认发起 Range: bytes=0- 等请求,若 PHP 脚本不处理 HTTP Range 头,会导致无法拖动进度条、加载卡顿甚至报错 ERR_CONNECTION_ABORTED

关键点不是“要不要支持”,而是“不支持就会坏掉”。必须解析 $_SERVER['HTTP_RANGE'],计算起始偏移、长度,并返回正确的 206 Partial Content 状态码和响应头。

  • 忽略 Range 请求直接全量输出,会导致 Chrome/Firefox 拒绝播放
  • 使用 fseek($fp, $start) 定位文件指针,再循环 fread() 输出指定字节
  • 必须设置 Content-RangeContent-LengthAccept-Ranges 三个响应头

最易被忽略的是 Range 支持——很多开发者以为签名 URL 加上就万事大吉,结果用户反馈“视频播到一半就卡住”,排查半天才发现是 PHP 脚本没处理分片请求。这个细节不补全,整个方案在真实场景中就是不可用的。

https://www.php.cn/faq/2002365.html

发表回复

Your email address will not be published. Required fields are marked *