我正在構建一個付費的iPhone應用程序,其中 - 向用戶顯示一些高級內容視頻。 - app在UIWebView 中從我的網絡服務器加載一個頁面 - 但這些視頻是在其他一些視頻託管站點託管的。爲我的iPhone應用程序託管受密碼保護的視頻
我意識到,爲了讓我保持這個應用程序的支付,我需要保持視頻鏈接保護/安全(否則如果網址泄漏,沒有人會想要支付)。
我可以輕鬆地對網頁進行密碼保護(指向實際的視頻),並使用戶名和密碼可供iPhone應用程序訪問此網頁。但是當用戶選擇視頻鏈接時,該應用會加載該網址。如果用戶此時在iPhone上嗅探數據包,他們可以訪問該URL並直接從該處運行。
我不相信mod_sec_download或mod_xsendfile可以在這種情況下工作,因爲視頻鏈接是外部的。對?
Amazon S3是否可能的解決方案?
希望任何見解/解決方案。
謝謝!
不要直接指向視頻文件。這將使竊取微不足道。相反,請指向一個代理腳本,該代理腳本可以檢查請求的來源並驗證它是否來自注冊購買者。
隨着適當的一次性令牌,跟蹤使用情況等......你可以讓大多數人不要吸乾你的網站。當然,最好的做法是在視頻播放時在其中嵌入水印,以便即使它被盜,您也可以追蹤到第一個人釋放它。
您可能想看看OWASP Top 10,特別是關於failure to restrict URL access的8號。這實際上是您的場景:您需要在服務器級別保護資源。您不能只從設備端執行此操作,設備請求的資源位置很容易被發現。
所以它歸結爲資源訪問控制,在這種情況下,您的視頻。你如何做到這一點將取決於你的服務器堆棧。例如,IIS7具有集成管道,可以將訪問控制應用於任何類型的資源,例如PDF,圖像和視頻(更多內容請見OWASP Top 10 for .NET developers part 8: Failure to Restrict URL Access)。或者,您需要某種形式的應用程序代理,可以負責認證,然後交付視頻內容。
這實際上更像是一個web服務器問題,而不是iPhone問題。專注於在服務器上獲得訪問控制權,那麼iPhone端將是一個更直接的過程。
嗨,非常感謝您的回覆。你的意思是把它隱藏在一個使用類似mod_xsendfile(內部重定向)的php auth腳本之後?什麼是用於生成一次令牌的機制? (對不起,我不是網絡開發者) – stackoverflowfan