PHP生成视频播放URL签名需用time()获取时间戳加有效期计算过期值,拼接路径与过期时间后通过hash_hmac('sha256', $data, $secret_key)生成签名,并将t和sign作为查询参数输出;验证时须检查t是否存在且为整数、未过期,并用hash_equals()比对重算签名,路径需规范化且与Nginx转发路径严格一致。
核心是用服务端时间戳 + 密钥生成不可预测的哈希值,客户端拿到的 play_url 必须包含该签名和过期时间。不能依赖前端传来的 timestamp 或 signature,全部由 PHP 后端生成。
time() 获取当前 Unix 时间戳,加上有效期(如 300 秒),得到 $expire
hash_hmac('sha256', $data, $secret_key) 生成签名?t=1718923456&sign=abc123...
$secret_key 必须存于环境变量或配置文件,禁止硬编码在代码里function generateVideoPlayUrl($video_path, $secret_key, $expire_seconds = 300) { $expire = time() + $expire_seconds; $data = $video_path . $expire; $sign = hash_hmac('sha256', $data, $secret_key); return sprintf('%s?t=%d&sign=%s', $video_path, $expire, $sign); }
收到播放请求(如 Nginx 的 ngx_http_secure_link_module 回调,或自建鉴权中间件)时,必须严格校验:时间未过期、签名匹配、路径未被修改。常见错误是只校验 sign,忽略 t 参数是否合法或是否为整数。
$_GET['t'] 是否存在且为整数,否则直接 403$_GET['t'] 的请求(注意时区一致,全用 UTC 或全用服务器本地时间)
t 值),用相同密钥和算法再算一次 hash_hmac,与传入 sign 严格比对(用 hash_equals() 防时序攻击)..、解码 URL 编码、限制前缀(如只允许 /videos/ 下的资源)function validateVideoRequest($request_path, $secret_key) {
if (!isset($_GET['t']) || !is_numeric($_GET['t'])) {
return false;
}
$expire = (int)$_GET['t'];
if ($expire < time()) {
return false;
}
$data = $request_path . $expire;
$expected_sign = hash_hmac('sha256', $data, $secret_key);
return hash_equals($expected_sign, $_GET['sign'] ?? '');
}
这是最常踩坑的地方:PHP 生成签名时用的路径,和 Nginx 实际转发给后端或校验模块的路径,必须完全一致。比如 PHP 签了 /videos/123.mp4,但 Nginx rewrite 成 /api/video-proxy/123.mp4,签名就必然失败。
/v/123.mp4),Nginx 的 secure_link 或 auth_request 指向同一逻辑路径,不重写原始路径auth_request 子请求到 PHP 接口),而不是让 secure_link 去校验一个被改过的路径$_SERVER['REQUEST_URI'] 和你用于签名的路径,逐字符比对,特别注意开头斜杠、结尾扩展名、大小写权限过期问题常表现为前端黑屏/报错,但 PHP 日志空空如也——大概率是请求根本没进 PHP,被 Nginx 层拦截了。比如用了 secure_link 但签名格式不对,Nginx 直接返回 403,PHP 压根不知道发生了什么。
secure_link,用 auth_request 显式转发到 PHP 接口,确保你能捕获所有请求http_response_code(403) 并 exiterror_log 级别是否足够(至少 info),secure_link 失败会在 error log 记 secure link expired 或 bad signature
X-Powered-By: PHP,没有就说明没走 PHP