在PHP中保护ASX文件

Question

我在我的网站上有一个仅限会员的区域，用户可以在那里登录并查看Windows Media流内容。

我已经创建了一个PHP脚本来服务于ASX文件，但是我不能用会话信息来验证它。我认为这是因为WMP发出了请求，而不是php页面。

有没有人能推荐一种优雅的方法来保护ASX文件？

Answer 1

我要做的是将PHP会话ID合并到.asx请求中。通常，此标识符存储在cookie中，并在每个页面请求时传递给PHP。在这种情况下，WMP不会发送cookie，因此您无法知道请求是否经过身份验证。

当您输出ASX文件的下载链接时，将会话标识符添加为GET变量：

$download_link = "http://myserver.com/download_asx_file.php?"
$download_link .= "f=$file_id&";
$download_link .= htmlspecialchars(SID);

现在，当您在download_asx_file.php顶部调用session_start()时，它应该会正确地找到并加载您的会话，并允许您正常进行身份验证。

注释：SID常量的计算结果为PHPSESSID=12345678 (或者用户的会话恰好是什么)

Answer 2

您可以尝试这样做：

//$user->isAuthenticated is only for ilustration, use whatever method you
//use to check if the user is authenticated
if($user->isAuthenticated()) {
      $asx = file_get_contents("/path/to/my/file.asx");
      header("Content-type: video/x-ms-asf");
      echo $asx;
} else {
      //Tell the user that he can't view this asx
}