17370845950

新闻动态
PHP怎么实现视频在线播放权限_PHP实现视频播放权限控制【逻辑】
PHP应生成带时效签名的视频URL(如/play.php?vid=123&sig=abc123&exp=1717028400),play.php校验签名、过期时间及权限后,通过fopen/fseek/fpassthru流式输出视频,并正确设置HTTP Range头以支持拖拽,严禁直接暴露真实路径或使用readfile简单输出。

用 PHP 生成带时效签名的视频 URL

直接在 HTML 的 标签里写死视频路径等于把资源完全暴露。正确做法是让 PHP 动态生成一个「一次有效、有时效、绑用户」的播放链接,后端校验通过才允许 Nginx/Apache 返回文件。

核心逻辑:不返回真实路径,而是返回类似 /play.php?vid=123&sig=abc123&exp=1717028400 这样的中转 URL,play.php 负责验证签名和过期时间,再用 readfile()fpassthru() 输出视频流。

  • 签名建议用 hash_hmac('sha256', $vid . '|' . $exp, $_ENV['SECRET_KEY']),避免被篡改
  • $exp 是 Unix 时间戳,比如 time() + 300 表示 5 分钟后失效
  • 务必校验 $exp >= time(),否则重放攻击可复用旧链接
  • 不要在 URL 中暴露原始文件名或完整路径,防止路径遍历(如 ../../etc/passwd

PHP 中用 readfile() 输出视频时的关键设置

很多人用 readfile() 后发现视频无法拖拽、卡顿、或只播一半——这几乎全是 HTTP 头没设对导致的。浏览器需要 Accept-Ranges 和正确的 Content-Range 才能做分片请求(seek)。

header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Cache-Control: no-cache');
header('Pragma: no-cache');

// 必须根据 $_SERVER['HTTP_RA
NGE'] 做处理
if (isset($_SERVER['HTTP_RANGE'])) {
$file = '/path/to/video.mp4';
$size = filesize($file);
[$unit, $range] = explode('=', $_SERVER['HTTP_RANGE'], 2);
[$start, $end] = explode('-', $range) + [0, $size - 1];
$start = (int)$start;
$end = ($end === '') ? $size - 1 : (int)$end;
header("HTTP/1.1 206 Partial Content");
header("Content-Range: bytes {$start}-{$end}/{$size}");
header("Content-Length: " . ($end - $start + 1));

$fp = fopen($file, 'rb');
fseek($fp, $start);
fpassthru($fp);
fclose($fp);
exit;
}


// 普通全量请求
header('Content-Length: ' . filesize('/path/to/video.mp4'));
readfile('/path/to/video.mp4');


如何防止盗链和跨域直接下载


仅靠 PHP 签名 URL 不足以防住工具批量抓取。必须配合 Web 服务器层限制:


    

  • Nginx 配置中用 valid_referers 拦掉非本站来源的 .mp4 请求
    • 

  • /play.php 接口加 Referer 校验(但注意移动端/隐私模式可能为空,不能强依赖)
    • 

  • 更可靠的是结合 session 或 JWT,在 play.php 中查用户是否已登录、是否有该视频权限(比如查数据库 user_idvideo_id 关联记录)
    • 

  • 避免把视频放在 Web 可直访目录下,推荐放到 /var/www/private/videos/ 这类非公开路径
    • 




为什么不要用 PHP 直接代理大视频文件


file_get_contents() 读几百 MB 视频再 echo,极易触发内存溢出(Fatal error: Allowed memory size exhausted)或超时(max_execution_time)。PHP 不是为流式大文件设计的。


    

  • 必须用 fopen() + fseek() + fpassthru() 分块输出,控制内存占用在 KB 级别
    • 

  • 禁用输出缓冲:ob_end_clean()ini_set('output_buffering', 'Off')

    • 

  • 如果并发高,建议用 X-Sendfile(Apache)或 X-Accel-Redirect(Nginx)交由 Web 服务器处理实际文件传输,PHP 只做鉴权
    • 

  • 注意 fpassthru() 前不能有任何输出(包括 BOM、空格、echo),否则 Header 已发送会报错
    • 



视频权限控制真正的难点不在 PHP 写几行代码,而在于签名机制是否抗重放、HTTP Range 是否真正支持拖拽、以及 Web 服务器与 PHP 的职责边界是否清晰。漏掉任意一环,都可能让“有权限”变成“谁都能下”。
广照天下广告 广照天下广告 广照天下广告策划 广照天下广告策划 广照天下 广照天下 广照天下 广照天下 广照天下 广照天下 广照天下广告策划 广照天下广告策划 广照天下广告策划 广照天下广告策划 南昌市广照天下广告策划有限公司 南昌市广照天下广告策划有限公司 南昌市广照天下广告策划有限公司 南昌市广照天下广告策划有限公司

赣ICP备2024031479号