PHP怎样实现视频播放鉴权_PHP视频播放鉴权实现逻辑【指南】

直接用video标签加载MP4不安全,因URL被浏览器直接GET请求而绕过PHP鉴权;必须通过play.php等后端脚本校验Token并流式输出视频,支持Range请求、禁用缓存、分块读取防OOM。

php怎样实现视频播放鉴权_php视频播放鉴权实现逻辑【指南】

为什么直接用 video 标签放 MP4 就不安全

因为浏览器拿到视频 URL 后,会直接向服务器发起 GET 请求,这个请求完全绕过 PHP 逻辑。只要 URL 被抓包、分享、缓存,任何人都能播放——鉴权形同虚设。

真正可控的环节只有「生成播放链接」和「响应视频流」两个阶段,中间必须切断原始文件路径暴露。

  • 禁止将 /videos/xxx.mp4 这类真实路径写死在 HTML 或 JS 中
  • 前端 是可行起点,但 play.php 必须校验权限并流式输出,不能做 302 跳转到静态地址
  • CDN 或 Nginx 缓存需关闭对鉴权路径的缓存(如设置 Cache-Control: no-store

readfile() 流式输出视频时的关键控制点

PHP 用 readfile() 输出大文件容易内存溢出或超时,尤其对高清视频。必须手动分块读取 + 设置响应头,否则浏览器卡住、进度条失效、无法拖拽。

header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Content-Transfer-Encoding: binary');

$fp = fopen($real_video_path, 'rb');
if ($fp) {
// 支持 Range 请求(拖拽必备)
$size = filesize($real_video_path);
$length = $size;
$start = 0;
$end = $size - 1;
if (isset($_SERVER['HTTP_RANGE'])) {
    preg_match('/bytes=(/d+)-(/d+)?/', $_SERVER['HTTP_RANGE'], $matches);
    $start = intval($matches[1]);
    $end = isset($matches[2]) ? intval($matches[2]) : $size - 1;
    $length = $end - $start + 1;

    header('HTTP/1.1 206 Partial Content');
    header("Content-Range: bytes $start-$end/$size");
}

header("Content-Length: $length");
fseek($fp, $start);
while (!feof($fp) && ($p = ftell($fp)) <= $end) {
    set_time_limit(0);
    echo fread($fp, min(8192, $end - $p + 1));
    flush();
    ob_flush();
}
fclose($fp);


}


立即学习PHP免费学习笔记(深入)”;





								酷表ChatExcel



									酷表ChatExcel


北大团队开发的通过聊天来操作Excel表格的AI工具




								下载 
							




    

  • 必须检查 HTTP_RANGE 并返回 206 状态码,否则 iOS Safari 和部分安卓浏览器拒绝拖拽
    • 

  • 
fseek() + fread() 分块读比 readfile() 更可控,避免 OOM
    • 

  • 
flush()ob_flush() 不是可选:缺少它们会导致浏览器收不到首帧,显示加载中不动
    • 



Token 鉴权该包含哪些字段才防重放


单纯用 md5($user_id . $video_id . $secret) 不够,攻击者截获一次 URL 就能永久重放。必须加入时效性与唯一性约束。


    

  • Token 应为 JWT 或自定义加密字符串,至少含:video_idexp(Unix 时间戳,建议 ≤ 300 秒)、ip_hashmd5($_SERVER['REMOTE_ADDR']))、nonce(随机字符串,服务端需短期缓存去重)
    • 

  • 验证时先检查 exp ,再查 IP 是否匹配,最后核对签名(如 hash_hmac('sha256', "$video_id|$exp|$ip_hash", $secret)

    • 

  • 不要把 video_id 明文传给前端;可用映射表或加密 ID(如 base64_encode(openssl_encrypt($id, 'AES-128-ECB', $key)))隐藏真实主键
    • 



Nginx 配合 PHP 做鉴权转发时的常见陷阱


有人想用 Nginx 的 auth_request 模块让 PHP 校验后再代理到静态文件,这看似高效,但实际会破坏 Range 请求和连接复用,导致拖拽失败、缓冲卡顿。


    

  • PHP 鉴权后直接输出文件流,Nginx 仅作反代(不加 auth_request),是最稳方案
    • 

  • 若坚持用 Nginx 层鉴权,必须开启 underscores_in_headers on; 并透传 Range 头,且后端 PHP 仍要处理 206 逻辑——此时 Nginx 反而成了冗余层
    • 

  • 别信“加个 X-Accel-Redirect 就能安全”,它只适用于内部路径重定向,不解决 Token 过期、IP 绑定等业务逻辑问题
    • 



最易被忽略的是客户端缓存行为:即使 PHP 每次都校验,浏览器也可能缓存上一个成功响应的视频流。务必在响应头中明确设置 Cache-Control: no-cache, no-store, must-revalidate,连 ETag 都不该发。


https://www.php.cn/faq/1991062.html

发表回复

Your email address will not be published. Required fields are marked *