Javascript 浏览器端的内容url安全性

我们已经为内容api的加密和解密实现了TEA算法。 因此，如果客户机点击我们的RESTAPI，他将获得加密数据。在前端，玩家将在从api获取密钥后对其进行解密

问题是，如果播放机可以获得密钥，那么攻击者就可以获得密钥，那么播放机将在brwoser/客户端打开

---

什么样的设计将有助于实现我们的目标，即使我们的内容URL安全，同时知道我们没有使用DRM服务，我们不能使用https。

看起来您或多或少都在尝试通过HTTP重新实现https或TLS。这是个坏主意，不会有好结果

只需使用HTTPS。我想不出你为什么不能在2017年的通用网络上使用它。这将为您的通信通道提供安全性（人们不能截获您正在通信的内容），但也要相信您正在与正确的服务器交谈（人们不能冒充您或MitM you等）

---

现在还不清楚这项计划的目标是什么？是为了防止人们看到播放器的数据吗？或者只允许某些用户查看，而不允许其他用户查看？

最终目标是，任何人都无法获取url和下载数据。。但是玩家应该能够玩它。我们正在使用的播放器是客户端应用程序中的JW播放器，通过REST api请求数据。HTTPS还将确保浏览器访问的URL对第三方不可见——只有客户端和服务器可见。但是，您可以从浏览器中看到正在访问的URL，因此一般来说，隐藏URL是没有帮助的，而只是隐藏特定会话访问的URL。为了实现这样的目标，您需要做一些额外的工作（可能是每个会话的URL？），但是一个坚定的对手也将能够拦截这一点。最后，URL需要从外部访问。