直接用video标签加载MP4不安全,因URL被浏览器直接GET请求而绕过PHP鉴权;必须通过play.php等后端脚本校验Token并流式输出视频,支持Range请求、禁用缓存、分块读取防OOM。
为什么直接用 video 标签放 MP4 就不安全
因为浏览器拿到视频 URL 后,会直接向服务器发起 GET 请求,这个请求完全绕过 PHP 逻辑。只要 URL 被抓包、分享、缓存,任何人都能播放——鉴权形同虚设。
真正可控的环节只有「生成播放链接」和「响应视频流」两个阶段,中间必须切断原始文件路径暴露。
- 禁止将
/videos/xxx.mp4这类真实路径写死在 HTML 或 JS 中 -
前端
是可行起点,但play.php必须校验权限并流式输出,不能做 302 跳转到静态地址 - CDN 或 Nginx 缓存需关闭对鉴权路径的缓存(如设置
Cache-Control: no-store)
readfile() 流式输出视频时的关键控制点
PHP 用 readfile() 输出大文件容易内存溢出或超时,尤其对高清视频。必须手动分块读取 + 设置响应头,否则浏览器卡住、进度条失效、无法拖拽。
header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Content-Transfer-Encoding: binary');
$fp = fopen($real_video_path, 'rb');
if ($fp) {
// 支持 Range 请求(拖拽必备)
$size = filesize($real_video_path);
$length = $size;
$start = 0;
$end = $size - 1;
if (isset($_SERVER['HTTP_RANGE'])) {
preg_match('/bytes=(\d+)-(\d+)?/', $_SERVER['HTTP_RANGE'], $matches);
$start = intval($matches[1]);
$end = isset($matches[2]) ? intval($matches[2]) : $size - 1;
$length = $end - $start + 1;
header('HTTP/1.1 206 Partial Content');
header("Content-Range: bytes $start-$end/$size");
}
header("Content-Length: $length");
fseek($fp, $start);
while (!feof($fp) && ($p = ftell($fp)) <= $end) {
set_time_limit(0);
echo fread($fp, min(8192, $end - $p + 1));
flush();
ob_flush();
}
fclose($fp);}
立即学习“PHP免费学习笔记(深入)”;
- 必须检查
HTTP_RANGE并返回206状态码,否则 iOS Safari 和部分安卓浏览器拒绝拖拽 -
fseek()+fread()分块读比readfile()更可控,避免 OOM -
flush()和ob_flush()不是可选:缺少它们会导致浏览器收不到首帧,显示加载中不动
Token 鉴权该包含哪些字段才防重放
单纯用 md5($user_id . $video_id . $secret) 不够,攻击者截获一次 URL 就能永久重放。必须加入时效性与唯一性约束。
- Token 应为 JWT 或自定义加密字符串,至少含:
video_id、exp(Unix 时间戳,建议 ≤ 300 秒)、ip_hash(md5($_SERVER['REMOTE_ADDR']))、nonce(随机字符串,服务端需短期缓存去重) - 验证时先检查
exp ,再查 IP 是否匹配,最后核对签名(如hash_hmac('sha256', "$video_id|$exp|$ip_hash", $secret)) - 不要把
video_id明文传给前端;可用映射表或加密 ID(如base64_encode(openssl_encrypt($id, 'AES-128-ECB', $key)))隐藏真实主键
Nginx 配合 PHP 做鉴权转发时的常见陷阱
有人想用 Nginx 的 auth_request 模块让 PHP 校验后再代理到静态文件,这看似高效,但实际会破坏 Range 请求和连接复用,导致拖拽失败、缓冲卡顿。
- PHP 鉴权后直接输出文件流,Nginx 仅作反代(不加
auth_request),是最稳方案 - 若坚持用 Nginx 层鉴权,必须开启
underscores_in_headers on;并透传Range头,且后端 PHP 仍要处理206逻辑——此时 Nginx 反而成了冗余层 - 别信“加个
X-Accel-Redirect就能安全”,它只适用于内部路径重定向,不解决 Token 过期、IP 绑定等业务逻辑问题
最易被忽略的是客户端缓存行为:即使 PHP 每次都校验,浏览器也可能缓存上一个成功响应的视频流。务必在响应头中明确设置 Cache-Control: no-cache, no-store, must-revalidate,连 ETag 都不该发。
