Testowanie klucza przed uruchomieniem pliku typu .swf / .mov


(Armon) #1

Witam,

Mam w planie napisanie sklepu ze sprzedażą filmów video.

Wydaje się być to całkiem proste zadanie, ale gorzej z zabezpieczeniem końcowym...

Otóż można zrobić to tak że, jeżeli ktoś jest już zalogowany i ma aktualną sesję oraz ma zaznaczoną flagę, że kupił dany materiał to ma dostępne linki do filmów.

Po wejściu na dany link, sprawdzona zostanie sesja, flaga, więc tutaj jest całkiem bezpiecznie. Teraz, gdy ktoś poda ten link komuś innemu, to bez podania dodatkowo swojego loginu oraz hasła nie może mieć dostępu do filmu.

Gorzej jednak, jeżeli jest to osoba, która zna HTML, osoba ta wtedy może wejść w źródło strony oraz znaleźć bezpośredniego linka do filmu, który musi tam być, jeśli chcę rozprowadzać filmy z możliwością streamingu.

No to wpadłem na taki pomysł...

Generuje na samym początku strony przy pomocy PHP, identyfikator, który zostanie wysłany do bazy danych. Gdy osoba wyjdzie ze strony, kod ten zostanie usunięty. Kod będzie używany np tak.

... nazwafilmu.mov?k=125agsdg4179&g=f8c9d837asdfasdf122793e0222ce3fa91c2 ...

Fajna sprawa, ale jak sprawdzić ten kod gdy wejdzie się na http://costamcostam/nazwafilmu.mov

Przecież nazwafilmu.mov wywoła od razu Quick Time, a jeżeli będzie to plik .swf to wywoła flash playera...

Jest to jednak możliwe bo zauważyłem, że podobnie robią np. tutaj: http://www.lynda.com/home/Player.aspx?lpk4=53917, wchodząc w źródło strony można znaleźć http://files.lynda.com/secure/courses/7 ... 2ce3fa91c2 , a jak widzimy na końcu jest klucz, bez klucza czyli http://files.lynda.com/secure/courses/7 ... elcome.mov film się nie odpali.

Widzimy, że ich kod jest stały, natomiast ja mam zamiar zrobić dynamiczny.

Jednak moje pytanie główne brzmi:

Jak sprawdzić przy pomocy jakiegokolwiek języka zanim odpali się _ nazwafilmu.mov _ jaki ona ma kod i czy go w ogóle on istnieje?

Pozdrawiam serdecznie,

Armon


(Sitemaster) #2

Ponieważ 00_01_LA_welcome.mov to nie plik .mov a skrypt.

Nie sprawdzałem tego, ale przychodzą mi do głowy 2 rozwiązania.

1 - mod_rewrite (pod urlem jest ukryty skrypt otrzymujący GETem klucz, sprawdza czy jest poprawny i jeśli tak ładuje powiązany z kluczem plik z odpowiednim nagłówkiem mime i kasuje klucz z bazy)

2 - na poziomie plików konfiguracyjnych serwera lub pliku htaccess, wymuszenie traktowania typu .mov jako skryptu

(wtedy skrypt zapisujesz z rozszerzeniem .mov a nie php czy aspx - a dalej tak jak w punkcie 1)


(Armon) #3

nm udało się zrobić, znalazłem że chodziło o header(), dzięki za pomoc :slight_smile: