PHP如何限制视频下载权限_PHP限制视频下载权限措施【管控】

php生成带时效签名的视频url需经stream.php中转校验exp过期时间与sig签名，分块输出视频流并支持range请求，同时web服务器须禁用视频目录直连。

用 PHP 生成带时效签名的视频 URL

直接暴露 video.mp4 这类静态路径，等于放弃所有权限控制。真正可行的方式是让视频资源不通过文件系统直连，而是经由 PHP 脚本中转，并在 URL 中嵌入一次性、有时效的签名。

核心逻辑：用户请求时，PHP 生成类似 /stream.php?file=lesson123.mp4&exp=1717025400&sig=abc123... 的链接，stream.php 收到后验证 exp 是否过期、sig 是否由服务端密钥正确签出，仅当全部通过才读取并输出视频流。

• exp 建议设为 Unix 时间戳，精确到秒，有效期控制在 5–30 分钟内足够
• 签名算法推荐 hash_hmac('sha256', $file . '|' . $exp, $secret_key)，避免拼接漏洞
• 务必在 stream.php 开头调用 header('Content-Type: video/mp4') 和 header('Accept-Ranges: bytes')，否则浏览器无法拖拽播放
• 大视频必须用 fopen() + fread() 分块输出，禁用 readfile()，否则内存溢出

header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Cache-Control: no-store, no-cache');

$file = $_GET['file'] ?? '';
$exp = (int)($_GET['exp'] ?? 0);
$sig = $_GET['sig'] ?? '';

if ($exp < time() || !hash_equals(hash_hmac('sha256', $file . '|' . $exp, 'your_secret_key'), $sig)) {
    http_response_code(403);
    exit;
}

$path = '/var/www/videos/' . basename($file);
if (!is_file($path)) {
    http_response_code(404);
    exit;
}

$fp = fopen($path, 'rb');
if (!$fp) {
    http_response_code(500);
    exit;
}

while (!feof($fp) && connection_status() == CONNECTION_NORMAL) {
    echo fread($fp, 8192);
    flush();
}
fclose($fp);

禁止 Nginx/Apache 直接访问视频目录

即使 PHP 层做了签名校验，如果 Web 服务器配置允许绕过 PHP 直接访问 /videos/ 下的文件，所有权限控制就形同虚设。

常见错误是把视频放在 public/ 或 htdocs/ 下却没加限制规则。

立即学习“PHP免费学习笔记（深入）”；

锐新办公用品行业建站系统5.0

锐新建站系统(智能建站型)，集易用性和强大功能为一体，具有同行业中独有的精美网站模版，灵活的栏目管理和文章、图文、下载、广告、在线客服、等管理功能，支持阅读权限控制和会员权限管理，可用于创建各种企业网站的需求。一、网站功能模块介绍会员管理功能 - 会员注册、登录、重设密码、会员资料修改 权限控制功能 - 针对会员类型或单个会员设置阅读、发布权限 栏目管理功能 - 自由创建栏目频道，设置栏目名称和显

下载

• Nginx 中，在对应 server 块里添加：location ^~ /videos/ { deny all; }
• Apache 中，在 .htaccess 或虚拟主机配置里写：<directory> Require all denied </directory>
• 更安全的做法是把视频目录放到 Web 根目录之外，例如 /var/www/private/videos/，彻底隔绝 HTTP 直连可能

防止 Referer 绕过和盗链（辅助手段）

单纯依赖 Referer 检查非常脆弱，但作为辅助策略可增加爬虫和简单盗链的成本。

在 stream.php 中加入 Referer 白名单判断，只允许来自你自己的域名或特定 CDN 域名的请求：

• 获取来源：$referer = $_SERVER['HTTP_REFERER'] ?? ''
• 白名单匹配建议用 parse_url($referer, PHP_URL_HOST) 提取 host 后严格比对，不要用 strpos 或模糊匹配
• 注意：移动端 WebView、某些隐私浏览器、HTTPS→HTTP 跳转都会清空 Referer，不能作为唯一验证依据

注意 Range 请求与断点续传支持

现代浏览器播放视频时默认发起 Range: bytes=0- 等请求，若 PHP 脚本不处理 HTTP Range 头，会导致无法拖动进度条、加载卡顿甚至报错 ERR_CONNECTION_ABORTED。

关键点不是“要不要支持”，而是“不支持就会坏掉”。必须解析 $_SERVER['HTTP_RANGE']，计算起始偏移、长度，并返回正确的 206 Partial Content 状态码和响应头。

• 忽略 Range 请求直接全量输出，会导致 Chrome/Firefox 拒绝播放
• 使用 fseek($fp, $start) 定位文件指针，再循环 fread() 输出指定字节数
• 必须设置 Content-Range、Content-Length、Accept-Ranges 三个响应头

最易被忽略的是 Range 支持——很多开发者以为签名 URL 加上就万事大吉，结果用户反馈“视频播到一半就卡住”，排查半天才发现是 PHP 脚本没处理分片请求。这个细节不补全，整个方案在真实场景中就是不可用的。