七牛视频防盗链处理

2019-02-15 17:12:42

背景

公司在做付费课程,视频教学为主,需要对视频链接作防盗链处理。

REFERER

HTTP referer 是 header 上的一个属性。当浏览器向服务器发起请求时,一般会带上Referer,告诉服务器我是从哪个页面链接过来的。

七牛在融合 CDN -> 域名管理 -> 高级配置里有一个域名防盗链选项。

域名防盗链

配置好之后就可以限制链接只能从配置好的白名单域名进行访问,简单的防御了盗链。但是HTTP header 是可以被伪造的,经测试,直接用 postman 加个 Referer 就可以绕过了。

私有空间

七牛云提供了私有空间,空间内的文件对象都要获得拥有者的授权才能进行访问,并且可以设置链接的有效时间,超过时长后自动失效(视频会有缓存,清空缓存之前视频仍然有效)。

如何创建私有空间的访问链接,下面是 Node.js SDK 的一段示例代码,其他语言可以去官网查看。

var mac = new qiniu.auth.digest.Mac(accessKey, secretKey);var config = new qiniu.conf.Config();var bucketManager = new qiniu.rs.BucketManager(mac, config);var privateBucketDomain = 'http://if-pri.qiniudn.com';var deadline = parseInt(Date.now() / 1000) + 3600; // 1小时过期var privateDownloadUrl = bucketManager.privateDownloadUrl(privateBucketDomain, key, deadline);

注意

  1. 测试域名不能用于私有空间。

  2. 自定义域名必须开启回源鉴权。

  3. 播放 hls 文件需要使用 pm3u8 服务。

详情可见这里:私有空间的注意事项

PM3U8

视频切片(七牛视频切片)后放在私有仓库时,获取单段视频的链接也需要带上token。七牛提供了 pm3u8服务 ,对 m3u8文件中的 ts 资源进行批量下载授权。通过将 ts 资源的 url 改写成私有 url,以临时获取访问权限。

有个需要注意的地方是,做签名处理时,要对整个链接做签名,比如 https://test.com/12354.m3u8?pm3u8/0

var privateBucketDomain = 'http://if-pri.qiniudn.com';var deadline = parseInt(Date.now() / 1000) + 3600; // 1小时过期var key = 12354.m3u8?pm3u8/0;  // pm3u8 参数和 url 一起做签名var privateDownloadUrl = bucketManager.privateDownloadUrl(privateBucketDomain, key, deadline);

还有个需要注意的地方是,虽然官方文档有一句这种提示,但和七牛沟通后的结果是,pm3u8 服务也是支持 https 的。

image.png

总结

使用 REFERER + 私有空间 已经可以解决盗链问题了,但是如果视频被下载仍然是个问题。需要对视频做加密处理,但是即使做了加密处理,也阻止不了录屏。完全杜绝视频泄露是很难的,或者我们可以采取其他方式加大盗用的成本,比如在视频里加上水印或者观看者ID,甚至让水印或者观看者ID在视频里四处游走(影响观看体验)。




  • 2020-11-22 20:53:43

    Dagger2之Kotlin写法

    修饰构造方法 修饰变量,在宿主类里,引入要注入的实例

  • 2020-11-22 20:56:13

    Dagger2使用详解

    简单的说,就是一个工厂模式,由Dagger负责创建工厂,帮忙生产instance。遵从Java规范JSR 330,可以使用这些注解。现在不研究Dagger2是如何根据注解去生成工厂的,先来看看工厂是什么东西,理解为什么可以实现了DI(Dependency Injection),如何创建IoC(Inverse of Control)容器。

  • 2020-11-22 21:00:28

    dagger.android--Fragment,BaseFragment

    1 使用Fragment参数来代替Activity参数 2 使用 @FragmentKey来代替@ActivityKey 3 使用HasFragmentInjector来代替@HasActivityInjector 4 AndroidInjection.inject(Fragment)方法,在Fragment的onAttach()中调用,而不是在onCreate()中 5 Fragment的Module添加位置,和Activity是不同的,它取决于Fragment需要的其他依赖注入

  • 2020-11-22 21:12:30

    Dependency Injection with Dagger2,Fragment

    標註@Provides的method若有parameter的話,Dagger會找出其擁有的該型態物件來使用。我們在Module內新增了DataModel將其列入Dagger的管理下,接著在provideFactory()增加parameter變成provideFactory(DataModel dataModel),Dagger就會找出其管理的DataModel給provideFactory使用。

  • 2020-11-22 22:58:52

    Android LiveData Transformations

    有时候有这样的需求,需要在LiveData将变化的数据通知给观察者前,改变数据的类型;或者是返回一个不一样的LiveData。

  • 2020-11-22 23:00:16

    androidx中的lifecycle组件

    Lifecycle-aware components生命周期感知组件执行操作,以响应另一个组件生命周期状态的更改,例如Activity和Fragment。这些组件可以帮助您生成更有组织、更容易维护的轻量级代码。

  • 2020-11-22 23:02:50

    Android数据存储之DataBase的Room

    Room是Google在AndroidX中提供的一个ORM(Object Relational Mapping,对象关系映射)库。它是在SQLite上提供的一个抽象层,可以使用SQLite的全部功能,同时可以更好更便捷流畅地访问数据库。(关于AndroidX可以参考

  • 2020-11-22 23:04:39

    Android组件 LiveData与MutableLiveData教程

    LiveData与ViewMode是经常搭配在一起使用的,但是为了不太混乱,我还是拆分开来说明,此篇博客只讲解 LiveData 与 MutableLiveData的概念与使用方式(但是会涉及到ViewMode的部分代码).