PHP视频权限控制实现技巧

有志者，事竟成！如果你在学习文章，那么本文《PHP视频播放权限控制实现方法》，就很适合你！文章讲解的知识点主要包括，若是你对本文感兴趣，或者是想搞懂其中某个知识点，就请你继续往下看吧~

PHP应生成带时效签名的视频URL（如/play.php?vid=123&sig=abc123&exp=1717028400），play.php校验签名、过期时间及权限后，通过fopen/fseek/fpassthru流式输出视频，并正确设置HTTP Range头以支持拖拽，严禁直接暴露真实路径或使用readfile简单输出。

用 PHP 生成带时效签名的视频 URL

直接在 HTML 的 标签里写死视频路径等于把资源完全暴露。正确做法是让 PHP 动态生成一个「一次有效、有时效、绑用户」的播放链接，后端校验通过才允许 Nginx/Apache 返回文件。

核心逻辑：不返回真实路径，而是返回类似 /play.php?vid=123&sig=abc123&exp=1717028400 这样的中转 URL，play.php 负责验证签名和过期时间，再用 readfile() 或 fpassthru() 输出视频流。

• 签名建议用 hash_hmac('sha256', $vid . '|' . $exp, $_ENV['SECRET_KEY'])，避免被篡改
• $exp 是 Unix 时间戳，比如 time() + 300 表示 5 分钟后失效
• 务必校验 $exp >= time()，否则重放攻击可复用旧链接
• 不要在 URL 中暴露原始文件名或完整路径，防止路径遍历（如 ../../etc/passwd）

PHP 中用 readfile() 输出视频时的关键设置

很多人用 readfile() 后发现视频无法拖拽、卡顿、或只播一半——这几乎全是 HTTP 头没设对导致的。浏览器需要 Accept-Ranges 和正确的 Content-Range 才能做分片请求（seek）。

header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('Cache-Control: no-cache');
header('Pragma: no-cache');
<p>// 必须根据 $_SERVER['HTTP_RANGE'] 做处理
if (isset($_SERVER['HTTP_RANGE'])) {
$file = '/path/to/video.mp4';
$size = filesize($file);
[$unit, $range] = explode('=', $_SERVER['HTTP_RANGE'], 2);
[$start, $end] = explode('-', $range) + [0, $size - 1];
$start = (int)$start;
$end = ($end === '') ? $size - 1 : (int)$end;</p><pre class="brush:php;toolbar:false;">header("HTTP/1.1 206 Partial Content");
header("Content-Range: bytes {$start}-{$end}/{$size}");
header("Content-Length: " . ($end - $start + 1));

$fp = fopen($file, 'rb');
fseek($fp, $start);
fpassthru($fp);
fclose($fp);
exit;

}

// 普通全量请求 header('Content-Length: ' . filesize('/path/to/video.mp4')); readfile('/path/to/video.mp4');

如何防止盗链和跨域直接下载

仅靠 PHP 签名 URL 不足以防住工具批量抓取。必须配合 Web 服务器层限制：

• Nginx 配置中用 valid_referers 拦掉非本站来源的 .mp4 请求
• 对 /play.php 接口加 Referer 校验（但注意移动端/隐私模式可能为空，不能强依赖）
• 更可靠的是结合 session 或 JWT，在 play.php 中查用户是否已登录、是否有该视频权限（比如查数据库 user_id 和 video_id 关联记录）
• 避免把视频放在 Web 可直访目录下，推荐放到 /var/www/private/videos/ 这类非公开路径

为什么不要用 PHP 直接代理大视频文件

用 file_get_contents() 读几百 MB 视频再 echo，极易触发内存溢出（Fatal error: Allowed memory size exhausted）或超时（max_execution_time）。PHP 不是为流式大文件设计的。

• 必须用 fopen() + fseek() + fpassthru() 分块输出，控制内存占用在 KB 级别
• 禁用输出缓冲：ob_end_clean() 和 ini_set('output_buffering', 'Off')
• 如果并发高，建议用 X-Sendfile（Apache）或 X-Accel-Redirect（Nginx）交由 Web 服务器处理实际文件传输，PHP 只做鉴权
• 注意 fpassthru() 前不能有任何输出（包括 BOM、空格、echo），否则 Header 已发送会报错

视频权限控制真正的难点不在 PHP 写几行代码，而在于签名机制是否抗重放、HTTP Range 是否真正支持拖拽、以及 Web 服务器与 PHP 的职责边界是否清晰。漏掉任意一环，都可能让“有权限”变成“谁都能下”。

到这里，我们也就讲完了《PHP视频权限控制实现技巧》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！