为我的iphone应用托管受密码保护的视频

Question

我正在建立一个付费iphone应用程序-显示一些优质的内容视频给用户。-应用程序在UIWebView中从我的the服务器加载页面-但视频托管在其他视频托管网站上。

我意识到，为了让我的应用付费，我需要保持视频链接的保护/安全(否则如果urls泄露，没有人会愿意为它付费)。

我可以很容易地对网页进行密码保护(指向实际的视频)，并使iphone应用程序可以使用用户名和密码来访问此网页。但当用户选择视频链接时，应用程序将加载该url。如果用户此时嗅探到iphone上的数据包，他们就可以访问url并直接从那里运行它。

我不相信mod_sec_download或mod_xsendfile可以在这种情况下工作，因为视频链接是外部的。对吗？

亚马逊S3是一个可行的解决方案吗？

如果您有任何见解/解决方案，我将非常感激。

谢谢!

Answer 1

不要直接指向视频文件。这会使偷窃变得微不足道。相反，指向一个代理脚本，它可以检查请求的来源，并验证它是否来自已注册的购买者。

使用适当的一次性令牌，跟踪使用情况等。你可以防止大多数人吸干你的网站。当然，最好的做法是在视频播放时将水印嵌入到视频中，这样即使视频被盗，您也可以追踪到第一个释放它的人。

Answer 2

你可能想看看OWASP的前10名，特别是关于failure to restrict URL access的第8名。这实际上就是您的场景:您有需要在服务器级别保护的资源。你不能仅仅从设备端做到这一点，设备所请求的资源的位置很容易被发现。

所以归根结底是对资源的访问控制，在这种情况下，就是你的视频。如何做到这一点部分取决于您的服务器堆栈。例如，IIS7有一个集成的管道，可以将访问控制应用于任何类型的资源，如PDF、图像和视频(在OWASP Top 10 for .NET developers part 8: Failure to Restrict URL Access中有更多信息)。或者，您将需要某种形式的应用程序代理，它可以负责视频内容的身份验证和交付。

这实际上更多的是This服务器的问题，而不是iPhone的问题。专注于在服务器上获得正确的访问控制，那么iPhone端将是一个更加直接的过程。