PHP无法直接加密视频文件,只能通过权限控制和临时签名URL限制访问,并需正确处理HTTP Range请求以支持视频拖动,同时对HLS的.m3u8和.ts文件均需代理防护。
PHP 本身不直接加密视频文件,而是控制访问权限
PHP 是服务端脚本语言,无法对已生成的 .mp4 或 .m3u8 文件做“加密编码”(比如 AES 加密二进制流),它真正能做的,是**阻止未授权用户直接拿到视频 URL**。常见做法是:把视频放在 Web 根目录外(如 /var/www/private/videos/),再通过 PHP 脚本读取、校验权限、设置响应头后输出内容。
用 PHP 输出视频流时必须注意 Content-Type 和 Range 支持
浏览器播放视频(尤其是拖动进度条)依赖 HTTP Range 请求。如果 PHP 脚本不正确处理分段请求,会导致无法拖动、卡顿或直接失败。
- 必须检查
$_SERVER['HTTP_RANGE'],解析字节范围(如bytes=1024-2047) - 响应中需返回
HTTP/1.1 206 Partial Content状态码 - 必须设置
Content-Type(如video/mp4)、Accept-Ranges: bytes、Content-Range等头部 - 用
fopen()+fseek()+fread()流式读取,避免file_get_contents()加载整个大文件到内存
header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
if (isset($_SERVER['HTTP_RANGE'])) {
list(, $range) = explode('=', $_SERVER['HTTP_RANGE'], 2);
list($start, $end) = array_map('intval', explode('-', $range));
$size = filesize($video_path);
$length = $size - $start;
if ($end) $length = $end - $start + 1;
header("HTTP/1.1 206 Partial Content");
header("Content-Range: bytes $start-$end/$size");
header("Content-Length: $length");
$fp = fopen($video_path, 'rb');
fseek($fp, $start);
while ($length > 0 && !feof($fp)) {
$chunk = min(8192, $length);
echo fread($fp, $chunk);
$length -= $chunk;
}
fclose($fp);} else {
header("Content-Length: " . filesize($video_path));
readfile($video_path);
}
URL 临时签名 + 过期时间是最实用的“软加密”手段
不暴露真实路径,而是生成带签名和过期时间的临时链接,例如:/play.php?v=abc123&t=1717025400&s=8a9f3c...。PHP 在 play.php 中验证 t(Unix 时间戳)是否过期、s(签名)是否由服务端密钥 + 视频 ID + 过期时间计算得出(如 hash_hmac('sha256', "$vid|$t", $secret))。
- 签名可防止 URL 被篡改或复用
- 过期时间(如 30 分钟)限制链接生命周期
- 配合 Nginx 的
secure_link模块可卸载部分校验逻辑,提升性能 - 不要把密钥硬编码在 PHP 文件里,应从环境变量或配置中心加载
HLS(.m3u8 + .ts)场景下 PHP 只能保护索引文件,切片仍需额外防护
若用 HLS,.m3u8 是纯文本索引,可用 PHP 动态生成并签名;但每个 .ts 切片仍是独立文件,若直接暴露路径,签名就失效了。
立即学习“PHP免费学习笔记(深入)”;
- 推荐将
.ts文件也放在不可直接访问路径,由 PHP 统一代理(如/ts.php?file=xxx.ts&sig=...) - 或使用 Nginx 的
secure_link对.ts路径做 MD5 签名校验,比 PHP 更高效 - 注意
.m3u8中的URI字段必须指向受控的代理地址,不能是静态路径 - 某些播放器(如 hls.js)对跨域或非标准响应头敏感,务必测试兼容性
关键点在于:没有银弹。所谓“加密”,本质是增加盗链成本——权限校验、动态 URL、流式响应、CDN 配合,缺一不可。最容易被忽略的是 Range 处理和 HLS 切片的二次防护,这两处一旦遗漏,前端随便抓个 URL 就能白嫖整部视频。
