Project

General

Profile

Авторизация m3u8

Added by tropa tropa 5 months ago

Поясните, пожалуйста, каким образом настроить авторизацию по бэкенду для того, чтобы нельзя было красть ссылки на поток? Я уже глаза сломал читать, но в толк никак не возьму, ЧТО мешает взять из плеера урл вместе с токеном и смотреть его долго и счастливо? Менять токен невозможно, так как стрим один, клиентов много, при замене токена у кого-то обязательно отвалится вещание. Не менять - кради не хочу. В чем смысл???


Replies (5)

RE: Авторизация m3u8 - Added by Max Lapshin 5 months ago

основная идея в том, что вы у себя на сайте генерируете новый и уникальный токен под каждый сеанс просмотра.

В этом случае вы можете проверять:

  1. то, что клиент, который пришел к вам на сайт за просмотром и клиент, который пришел к флюссонику, пришли с одного IP
  2. пришли за одним и тем же потоком
  3. пришли примерно в одно и то же время

так же можно сверять платформу (виндовс, не виндовс) и т.п.

Так же вы можете писать токены себе в базу и когда юзер запрашивает старый токен, запрещать его.

Токен конечно же обязательно надо менять, если у вас один токен на всех, то ни о какой безопасности речь идти не может.

RE: Авторизация m3u8 - Added by tropa tropa 5 months ago

Таким образом, токен принадлежит юзеру? Тогда, как пройти авторизацию, ведь мы не знаем, про какого юзера флюсоник прислал запрор
? Если же токен принадлежит стриму, то все хорошо, однако при смене вещание отвалится у всех, ведь плеер не знает, что токен другой.

RE: Авторизация m3u8 - Added by Max Lapshin 5 months ago

токен конечно должен принадлежать юзеру.

Когда к вам на сайт зашел человек, то авторизуйте его, выясните его user_id и сформируйте новый и уникальный токен. Для уникальности можно добавить текущее время

RE: Авторизация m3u8 - Added by tropa tropa 5 months ago

Получается так: во время аутентификации и авторизации юзеру создается сессионный ключ, действительный все время сессии. Если линк украден, а юзер больше не заходил к нам на сайт, ключ не обновлялся и продолжает быть действительным.

RE: Авторизация m3u8 - Added by Max Lapshin 5 months ago

http://erlyvideo.ru/doc/auth/securelink

вот вам пример того, как сделать ключ, который может протухнуть через какое-то время.

    (1-5/5)