通過URL鑒權保護直播資源 - ApsaraVideo Live

為防止網站資源被惡意下載盜用，除了通過配置訪問Referer黑名單和白名單來實現對訪客身份的識別和過濾，您還可以採用URL鑒權，更安全有效地保護使用者來源站點資源。本文介紹URL鑒權、原理、使用方式和注意事項。

使用方法

控制台：URL鑒權支援預設鑒權和自訂鑒權兩種方式。
- 預設鑒權：預設為A方式。詳細資料請參見直播地址產生器。
- 自訂鑒權：如不採用預設配置可自訂配置，具體操作，請參見配置URL鑒權。
重要
- 可通過控制台配置URL鑒權自訂主KEY和副KEY，兩者擁有同樣的效力，副KEY主要用於平滑更換。
- 若主KEY執行更換，所有使用主KEY產生的播放地址會立即失效。副KEY作為主KEY更換時，使用主KEY的播放地址不會馬上中斷，副KEY可以繼續替代主KEY提供服務。
代碼拼接鑒權URL。
1. 根據推流地址指定的AppName及StreamName得到未鑒權的播流地址，如rtmp:/DomainName/AppName/StreamName
2. 根據鑒權演算法，填入對應的播流地址計算鑒權URL，鑒權組成及演算法請參見下表·鑒權URL組成。擷取鑒權URL的程式碼範例，請參見鑒權程式碼範例。

鑒權URL組成

鑒權URL適用於PC端、移動端、第三方推流和播放工具。由直播推流地址或播放地址+鑒權串組成，樣本如下：

rtmp://DomainName/AppName/StreamName?auth_key=timestamp-rand-uid-md5hash

鑒權URL	描述
`rtmp://DomainName/AppName/StreamName`	直播推流地址或播流地址，更多資訊，請參見產生推流地址和播放地址。
`auth_key=timestamp-rand-uid-md5hash`	鑒權串，包含timestamp、rand、uid、md5hash4個欄位，欄位描述如下。
timestamp	鑒權URL的失效時間，由產生鑒權URL的時間，與鑒權URL有效時間長度共同控制。使用UNIX時間戳記表示（單位：秒）。若使用控制台的地址產生器產生：timestamp=產生鑒權URL的時間。若使用代碼拼接：您可以自己定義timestamp。以Python為例：`timestamp（失效時間） = int(time.time()) + 1 * 3600`。
rand	隨機數，一般為0。如要確保每次產生的URL不同，建議使用UUID格式，不能包含中劃線（-），如：`477b3bbc253f467b8def6711128c7****`。
uid	附加參數，暫未使用，一般為0。
md5hash	通過md5演算法計算出的驗證串。數字和小寫英文字母混合0~9、a~z，固定長度32。 `sstring = "URI-timestamp-rand-uid-PrivateKey" md5hash = md5sum(sstring)` URI：使用者請求對象相對位址，即原始URL中的`/AppName/StreamName`，其中StreamName包含副檔名。產生FLV地址時，URI為`/AppName/StreamName.flv`。產生HLS地址時，URI為`/AppName/StreamName.m3u8`。產生FLV轉碼地址時，URI為`/AppName/StreamName_ID.flv`。產生HLS轉碼地址時，URI為`/AppName/StreamName_ID.m3u8`。 PrivateKey：控制台配置的主KEY或副KEY，二者皆可。 md5sum：表示計算MD5值，請使用開發語言對應的函數。說明使用控制台產生鑒權URL和使用代碼拼接鑒權URL的`md5hash`值計算方法相同。

功能原理

當開啟URL鑒權功能後，伺服器擷取請求後會進行如下驗證：

判斷請求中的失效時間是否小於目前時間。
- 如果小於目前時間，則認為到期失效並返回HTTP 403錯誤。
- 如果大於目前時間，則構造出一個同樣的字串（參見下文sstring構造方式）。
使用MD5演算法算出HashValue，再和請求中帶來的md5hash進行比對。
- 比對結果一致，則認為鑒權通過，返回直播流。
- 否則鑒權失敗，返回HTTP 403錯誤。

HashValue是通過以下字串計算出來的：

sstring = "URI-timestamp-rand-uid-PrivateKey"
HashValue = md5sum(sstring)

樣本說明

假設情況：
1. 通過req_auth請求對象，rtmp://demo.aliyundoc.com/video/standard****。
2. 鑒權KEY設定為：aliyunliveexp1234（控制台設定的主KEY或副KEY，由使用者自行設定）。
3. 產生鑒權URL時間為：北京時間2021年05月28日16:49:57。
4. 控制台中，鑒權URL設定的有效時間長度為40分鐘。
5. rand和uid欄位都設定為0。
則：
1. 計算出來的鑒權URL的Unix時間戳記為1622194197（北京時間2021年05月28日17:29:57）。
2. 伺服器會構造一個用於計算Hashvalue的簽名字串。
  /video/standard-1622194197-0-0-aliyunliveexp1234
3. 伺服器會根據該簽名字串計算HashValue。
  HashValue = md5sum("/video/standard-1622194197-0-0-aliyunliveexp1234") = 5552ff52b5e4e20387c6dc18afce****
4. 請求時URL為rtmp://demo.aliyundoc.com/video/standard****?auth_key=1622194197-0-0-5552ff52b5e4e20387c6dc18afce****
  說明
  auth_key即為鑒權URL所帶的鑒權資訊。
5. 計算出來的HashValue與使用者請求中帶的md5hash = 5552ff52b5e4e20387c6dc18afce****值一致，於是鑒權通過。

注意事項

鑒權功能預設為開啟狀態，建議您保持預設開啟狀態，否則會出現直播被盜錄、盜播的風險。如果您想要關閉鑒權功能，需要瞭解盜刷風險並在控制台URL鑒權頁面簽署《關閉URL鑒權免責協議》。
鑒權功能預設為開啟狀態，但是配置鑒權auth_key參數必須需要業務端根據鑒權原理自行實現，暫時沒有提供API介面計算鑒權auth_key參數。
開啟鑒權後推流或播流地址均需要添加鑒權auth_key參數才可正常播放。暫時不支援僅推流或者播流一個地址開啟鑒權的功能。
鑒權URL提供的是到期時間戳記的限制，即在該時間段內該地址可以一直訪問，不會有任何限制，鑒權還無法實現設定某個URL僅能夠一次訪問的功能。
鑒權auth_key參數是根據去掉queryString後的URI計算MD5值後拼接得到的，參見前述設定鑒權參數小節。因此，推流和播流地址的URI均為AppName/StreamName。建議使用者商務邏輯中如果推流地址有泄漏的情況下設定到期時間戳記在業務功能內盡量短一些，避免播流地址被惡意訪問。
針對RTMP、FLV、RTS格式的推播流地址鑒權僅會在推流或者播流開始的時候進行驗證，在推流或者播流過程中不會驗證，即推流或者播流過程中如果超過了鑒權時間戳記也可以繼續播放。
針對M3U8格式的播流地址鑒權會在播流開始以及播流過程中進行驗證，即在播流過程中如果超過了鑒權時間戳記，M3U8格式的播流地址將不能正常播放。