This is a readonly text dump of old forum. New forum https://forum.flussonic.com
Обсуждение эрливидео

Авторизация m3u8

Added by tropa tropa almost 2 years ago

Поясните, пожалуйста, каким образом настроить авторизацию по бэкенду для того, чтобы нельзя было красть ссылки на поток? Я уже глаза сломал читать, но в толк никак не возьму, ЧТО мешает взять из плеера урл вместе с токеном и смотреть его долго и счастливо? Менять токен невозможно, так как стрим один, клиентов много, при замене токена у кого-то обязательно отвалится вещание. Не менять - кради не хочу. В чем смысл???

Replies (5)

RE: Авторизация m3u8
added by Max Lapshin almost 2 years ago
http://erlyvideo.ru/doc/auth/securelink вот вам пример того, как сделать ключ, который может протухнуть через какое-то время.
RE: Авторизация m3u8
added by tropa tropa almost 2 years ago
Получается так: во время аутентификации и авторизации юзеру создается сессионный ключ, действительный все время сессии. Если линк украден, а юзер больше не заходил к нам на сайт, ключ не обновлялся и продолжает быть действительным.
RE: Авторизация m3u8
added by Max Lapshin almost 2 years ago
токен конечно должен принадлежать юзеру. Когда к вам на сайт зашел человек, то авторизуйте его, выясните его user_id и сформируйте новый и уникальный токен. Для уникальности можно добавить текущее время
RE: Авторизация m3u8
added by tropa tropa almost 2 years ago
Таким образом, токен принадлежит юзеру? Тогда, как пройти авторизацию, ведь мы не знаем, про какого юзера флюсоник прислал запрор ? Если же токен принадлежит стриму, то все хорошо, однако при смене вещание отвалится у всех, ведь плеер не знает, что токен другой.
RE: Авторизация m3u8
added by Max Lapshin almost 2 years ago
основная идея в том, что вы у себя на сайте генерируете новый и уникальный токен под каждый сеанс просмотра. В этом случае вы можете проверять: # то, что клиент, который пришел к вам на сайт за просмотром и клиент, который пришел к флюссонику, пришли с одного IP # пришли за одним и тем же потоком # пришли примерно в одно и то же время так же можно сверять платформу (виндовс, не виндовс) и т.п. Так же вы можете писать токены себе в базу и когда юзер запрашивает старый токен, запрещать его. Токен конечно же обязательно надо менять, если у вас один токен на всех, то ни о какой безопасности речь идти не может.