PHP生成带时效签名的视频URL需经stream.php中转校验exp过期时间与sig签名,分块输出视频流并支持Range请求,同时Web服务器须禁用视频目录直连。
用 PHP 生成带时效签名的视频 URL
直接暴露 video.mp4 这类静态路径,等于放弃所有权限控制。真正可行的方式是让视频资源不通过文件系统直连,而是经由 PHP 脚本中转,并在 URL 中嵌入一次性、有时效的签名。
核心逻辑:用户请求时,PHP 生成类似 /stream.php?file=lesson123.mp4&exp=1717025400&sig=abc123... 的链接,stream.php 收到后验证 exp 是否过期、sig 是否由服务端密钥正确签出,仅当全部通过才读取并输出视频流。
-
exp建议设为 Unix 时间戳,精确到秒,有效期控制在 5–30 分钟内足够 - 签名算法推荐
hash_hmac('sha256', $file . '|' . $exp, $secret_key),避免拼接漏洞 - 务必在
stream.php开头调用header('Content-Type: video/mp4')和header('Accept-Ranges: bytes'),否则浏览器无法拖拽播放 - 大视频必须用
fopen()+fread()分块输出,禁用readfile(),否则内存溢出
header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Cache-Control: no-store, no-cache');
$file = $_GET['file'] ?? '';
$exp = (int)($_GET['exp'] ?? 0);
$sig = $_GET['sig'] ?? '';
if ($exp < time() || !hash_equals(hash_hmac('sha256', $file . '|' . $exp, 'your_secret_key'), $sig)) {
http_response_code(403);
exit;
}
$path = '/var/www/videos/' . basename($file);
if (!is_file($path)) {
http_response_code(404);
exit;
}
$fp = fopen($path, 'rb');
if (!$fp) {
http_response_code(500);
exit;
}
while (!feof($fp) && connection_status() == CONNECTION_NORMAL) {
echo fread($fp, 8192);
flush();
}
fclose($fp);
禁止 Nginx/Apache 直接访问视频目录
即使 PHP 层做了签名校验,如果 Web 服务器配置允许绕过 PHP 直接访问 /videos/ 下的文件,所有权限控制就形同虚设。
常见错误是把视频放在 public/ 或 htdocs/ 下却没加限制规则。
立即学习“PHP免费学习笔记(深入)”;
- Nginx 中,在对应 server 块里添加:
location ^~ /videos/ { deny all; } - Apache 中,在
.htaccess或虚拟主机配置里写:Require all denied - 更安全的做法是把视频目录放到 Web 根目录之外,例如
/var/www/private/videos/,彻底隔绝 HTTP 直连可能
防止 Referer 绕过和盗链(辅助手段)
单纯依赖 Referer 检查非常脆弱,但作为辅助策略可增加爬虫和简单盗链的成本。
锐新建站系统(智能建站型),集易用性和强大功能为一体,具有同行业中独有的精美网站模版,灵活的栏目管理和文章、图文、下载、广告、在线客服、等管理功能,支持阅读权限控制和会员权限管理,可用于创建各种企业网站的需求。一、网站功能模块介绍会员管理功能 - 会员注册、登录、重设密码、会员资料修改 权限控制功能 - 针对会员类型或单个会员设置阅读、发布权限 栏目管理功能 - 自由创建栏目频道,设置栏目名称和显
在 stream.php 中加入 Referer 白名单判断,只允许来自你自己的域名或特定 CDN 域名的请求:
- 获取来源:
$referer = $_SERVER['HTTP_REFERER'] ?? '' - 白名单匹配建议用
parse_url($referer, PHP_URL_HOST)提取 host 后严格比对,不要用strpos或模糊匹配 - 注意:移动端 WebView、某些隐私浏览器、HTTPS→HTTP 跳转都会清空 Referer,不能作为唯一验证依据
注意 Range 请求与断点续传支持
现代浏览器播放视频时默认发起 Range: bytes=0- 等请求,若 PHP 脚本不处理 HTTP Range 头,会导致无法拖动进度条、加载卡顿甚至报错 ERR_CONNECTION_ABORTED。
关键点不是“要不要支持”,而是“不支持就会坏掉”。必须解析 $_SERVER['HTTP_RANGE'],计算起始偏移、长度,并返回正确的 206 Partial Content 状态码和响应头。
- 忽略 Range 请求直接全量输出,会导致 Chrome/Firefox 拒绝播放
- 使用
fseek($fp, $start)定位文件指针,再循环fread()输出指定字节数 - 必须设置
Content-Range、Content-Length、Accept-Ranges三个响应头
最易被忽略的是 Range 支持——很多开发者以为签名 URL 加上就万事大吉,结果用户反馈“视频播到一半就卡住”,排查半天才发现是 PHP 脚本没处理分片请求。这个细节不补全,整个方案在真实场景中就是不可用的。
