Php 使用rtmp请求发送会话Id安全吗?
我需要知道用户是否登录,以及当他们请求rtmp流时他们是谁 当用户连接时,rtmp服务器将连接到php回调页面,并且仅在2xx响应上授权流 我想到了这一点:Php 使用rtmp请求发送会话Id安全吗?,php,rtmp,Php,Rtmp,我需要知道用户是否登录,以及当他们请求rtmp流时他们是谁 当用户连接时,rtmp服务器将连接到php回调页面,并且仅在2xx响应上授权流 我想到了这一点: <param name="flashvars" value="src=rtmp://serverip/stream?sid=<?php echo $session_id; ?>" /> 发送会话id的加密。并在回调发生时在PHP端对其进行解密 为了更加安全,每次加密的密钥都要不同。例如,存在静态部分和
<param name="flashvars"
value="src=rtmp://serverip/stream?sid=<?php echo $session_id; ?>" />
发送会话id的加密。并在回调发生时在PHP端对其进行解密
为了更加安全,每次加密的密钥都要不同。例如,存在静态部分和动态部分(例如用户名)。并在flashvars中给出动态部分(例如user_id)的线索
例如:
发送参数:
<?php
$static_key_part = "blahblah";
$encrypted = openssl_encrypt($session_id, "aes128", $static_key_part.$user_name);
?>
<param name="flashvars"
value="src=rtmp://serverip/stream?sid=<?php echo urlencode($encrypted); ?>&user_id=<?php echo $user_id; ?>" />
大多数网站并不在每个连接上都使用HTTPS,因此它们同样会受到MitM cookie的影响;可以说,URL可能更为可见(即可登录),但不安全的连接是不安全的连接。。但这是公认的做法(例如,一般不认为这是一个问题)。既然提出了一个问题,为什么不简单地发送一个[纯文本]会话ID并感觉温暖和模糊呢?这似乎是个好主意,您能推荐一种加密/解密方法吗?
<?php
$static_key_part = "blahblah";
$encrypted = $_GET['encrypted'];
$user_id = $_GET['user_id'];
$user_name = get_it_from_database($user_id);
$session_id = openssl_decrypt($encrypted, "aes128", $static_key_part.$user_name);
session_id($session_id);
session_start();
// check session here
?>