我正在构建一个类似网络广播的服务,其中用户对服务进行身份验证,获取一个 cookie,然后一个基于 Flash 的应用程序从服务器播放 mp3。仅当客户端被允许使用该特定 mp3 时,服务器才会交付。
如果用户打开 HTTP 记录器(如 FireBug),他可以看到通过 flash 下载的文件。如果他直接通过地址栏打开 mp3 的 URL,他可以很容易地下载 MP3,虽然 URL 是用户无法猜到的。
我正在寻找一个安全的系统来防止用户将 MP3 直接下载到他的系统中。我检查了 last.fm,因为他们使用了类似的设置,并且以某种方式阻止了它。
【问题讨论】:
最终,你无法阻止一个有决心的人。但是,您至少可以让它变得困难。
有几个选项涉及推荐人检查、身份验证和类似的有趣的东西。但可能我见过的最成功的反下载检查是这样工作的:
用户表示他想要流式传输文件;该应用程序发出一个经过身份验证的加密请求,指示他想要的操作。结果是一个只能使用一次且有时间限制的 URL,它可以被托管文件的任何应用程序或 CDN 识别。在 URL 被使用一次(即被 flash 应用程序)之后,它就会过期并且永远不能再次使用。如果在给定时间(几秒)内没有开始流式传输,则 URL 也会过期。显然,给出的 URL 并不直接对应文件名,而是在服务器端进行身份验证、解码和翻译。
解决方法仍然不是不可能,但相当困难。
【讨论】:
getstream.php?id=123,其中id 标识来自DB 的数据,getstream.php 验证id,如果正确,则将文件数据传递给客户端和从数据库中删除相应的条目。
您可以使用 RTMP 而不是 HTTP 来传送音频数据。 RTMP 旨在用于流式传输音频、视频和其他数据。它只流式传输数据,而不是文件。这不是 100% 安全的,因为如果客户端(浏览器、flash 播放器等)有东西,用户可以保存它,但它仍然比通过 HTTP 提供文件要好。
您将需要支持 RTMP 的服务器,例如 Flash Media Server (FMS)、Wowza 或 Red5。
【讨论】: