应使用PHP校验权限后通过Nginx的X-Accel-Redirect机制代理视频流,URL需含时间戳与HMAC-SHA256签名,并严格校验用户-视频绑定关系、Referer、IP限流及响应头安全策略。
用 PHP 生成带签名的临时视频 URL
直接暴露视频文件路径(如 /videos/abc.mp4)等于放弃权限控制。必须让每次访问都经过 PHP 验证,并返回一个短期有效、不可猜测的 URL。
核心思路:不重定向到真实路径,而是由 PHP 输出 HTTP 头 + 流式传输;或更常用的是——生成带时间戳和签名的代理 URL,由 Web 服务器(如 Nginx)配合验证后放行。
- 推荐用 Nginx 的
x-accel-redirect机制:PHP 只校验权限,返回X-Accel-Redirect响应头,Nginx 内部跳转并输出文件,真实路径完全不暴露 - 签名算法建议用
hash_hmac('sha256', $file_path . $expire_time, $secret_key),避免被篡改过期时间 - URL 示例:
/video-proxy?path=lesson123.mp4&t=1717028400&sig=a1b2c3...,PHP 中验证t是否未过期、sig是否匹配
在 PHP 中校验用户身份与资源绑定关系
权限不是“有没有会员”,而是“这个用户是否被授权访问这个视频”。必须查库确认绑定关系,不能只靠 session 角色判断。
常见错误是:用户 A 购买了课程 X,但接口没校验 user_id = ? AND video_id = ?,导致 A 可以把 URL 分享给 B,B 也能播放。
立即学习“PHP免费学习笔记(深入)”;
- 必须在每次请求中查询数据库或缓存(如 Redis),确认
user_id对应的video_id是否存在有效购买记录或访问许可 - 如果使用 JWT 或自定义 token,token payload 中应包含
video_id和exp,且服务端需校验该video_id是否仍属该用户当前有效权限范围内 - 避免在前端拼接视频地址时暴露
video_id明文,可用短 ID(如vid_abc123)映射真实 ID,降低枚举风险
防止盗链与跨域非法调用
即使有签名 URL,攻击者仍可能从浏览器开发者工具复制链接后反复使用,或用脚本批量请求。需叠加多层防护。
- Nginx 层加
valid_referers限制来源域名,拒绝空 referer 或非白名单域名的.mp4请求 - PHP 层检查
$_SERVER['HTTP_REFERER'](仅作辅助,可伪造,不能单独依赖) - 对高频请求 IP 做限流(如
redis.incr($ip_key)+ 过期时间),单 IP 每分钟超过 10 次视频请求即临时封禁 - 关键:视频流响应头中必须设置
Content-Disposition: attachment; filename="forbidden.mp4"(当校验失败时),避免浏览器自动播放错误内容
header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Content-Length: ' . filesize($real_path));
header('X-Accel-Redirect: /internal/videos/' . basename($real_path)); // Nginx 内部路径
readfile($real_path); // fallback,仅用于调试,生产环境应由 Nginx 处理
真正难的不是生成一个带时间的链接,而是确保每个环节——从数据库查询、签名生成、Web 服务器配置、CDN 缓存策略——都不留下可绕过的缝隙。尤其是 Nginx 的 location ~ \.mp4$ 块,若没配好 internal 或漏了 add_header 清除敏感头,整个控制就形同虚设。
