应将视频存于Web根目录外,用PHP校验用户角色后流式输出;需防路径遍历、禁用CDN缓存、处理Range请求,并抽离权限逻辑为独立函数。
判断用户角色后控制视频资源访问
PHP 本身不直接“播放”视频,真正要控制的是「用户能否获取到视频文件」。核心思路是:把视频文件放在 Web 根目录之外(如 /var/www/private/videos/),用 PHP 脚本做权限校验,再通过 readfile() 或 fpassthru() 输出二进制流。直接把 MP4 放在 /public/ 下并靠前端隐藏链接毫无安全性可言。
- 用户登录后,其角色应存于 session 或 JWT 中,例如
$_SESSION['role']值为'student'、'teacher'或'admin' - 视频元数据(如 ID、路径、所需角色)建议存在数据库,避免硬编码;若简单场景,可用数组映射:
$video_permissions = [ 'math_lecture_01' => ['roles' => ['student', 'teacher']], 'exam_solution_vip' => ['roles' => ['teacher', 'admin']], ]; - 务必校验请求参数,防止路径遍历:
basename($_GET['id'])比直接拼接$_GET['id']安全得多
用 PHP 输出受控视频流的最小可行代码
关键不是“怎么播”,而是“怎么安全地吐出文件”。下面是一个带角色检查的 play.php 示例:
['student', 'teacher'],
'exam_solution_vip' => ['teacher', 'admin'],
];
$id = basename($_GET['id'] ?? '');
if (!isset($allowed_roles[$id])) {
http_response_code(404);
exit('Video not found');
}
if (!in_array($_SESSION['role'], $allowed_roles[$id]['roles'])) {
http_response_code(403);
exit('Insufficient permissions');
}
$video_path = '/var/www/private/videos/' . $id . '.mp4';
if (!is_file($video_path)) {
http_response_code(404);
exit('File not found');
}
// 设置正确 MIME 类型和流式响应头
header('Content-Type: video/mp4');
header('Content-Length: ' . filesize($video_path));
header('Accept-Ranges: bytes');
header('Cache-Control: no-cache');
readfile($video_path);
?>
前端 HTML 只需用标准 标签指向该脚本:。注意:不要在 URL 中暴露真实路径或扩展名。
为什么不能用 .htaccess 或 Nginx auth_basic 控制角色?
.htaccess 和 auth_basic 只能做“有无认证”,无法区分角色——它们不知道当前用户是学生还是管理员。PHP 才能读取 session、查数据库、执行复杂逻辑。如果强行用 Nginx 的 auth_request 模块转发鉴权,那背后仍是 PHP 接口,反而增加延迟和配置复杂度。简单角色模型下,纯 PHP 控制更直接可靠。
立即学习“PHP免费学习笔记(深入)”;
- HTTP 范围请求(
Range: bytes=0-1023)对拖拽播放很重要,上面示例中Accept-Ranges: bytes是基础支持,但完整实现断点续传需解析HTTP_RANGE并手动fseek(),生产环境建议用fpassthru()配合fopen()流式处理 - 大视频文件会吃内存,
readfile()在 PHP 8+ 默认已流式处理,但若启用了output_buffering,需先ob_end_clean() - CDN 缓存会破坏权限控制,这类受控视频绝对不能走 CDN 静态缓存;必须确保所有请求都经过 PHP 层
前端 video 标签配合 PHP 的常见陷阱
浏览器对 的预加载行为很激进——它可能在用户点击前就发起请求,导致未登录用户也触发 PHP 鉴权失败报错。这不是 PHP 的问题,而是前端可控性不足的表现。
- 不要依赖
preload="none",它只是提示,不保证生效;更稳妥的方式是:初始不设src,点击播放按钮后再用 JS 动态赋值:videoEl.src = 'play.php?id=' + id; - 若用 HLS(.m3u8),PHP 必须同样保护 m3u8 文件和所有
.ts分片,且每个分片请求都要单独鉴权——不能只保护主 m3u8 - 移动端 Safari 对非 HTTPS 下的 video 流限制更严,确保整个链路(包括 play.php)走 HTTPS,否则可能静音或拒绝加载
can_access_video($user_role, $video_id),后面加策略才不会失控。 
