使用 PHP 建立簽章的 Cookie - Amazon CloudFront
建立 RSA SHA-1 簽章建立已簽章的 Cookie完整程式碼

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 PHP 建立簽章的 Cookie

下列程式碼範例類似於 中使用 PHP 建立 URL 簽章建立影片連結的 範例。不過,此範例不會在程式碼中簽署 URL,而是使用 create_signed_cookies()函數簽署 Cookie。用戶端播放器使用 Cookie 對 CloudFront 分發的每個請求進行身分驗證。

此方法有助於串流內容,例如 HTTP 即時串流 (HLS) 或動態自適應 HTTP 串流 (DASH),其中用戶端需要提出多個請求來擷取資訊清單、區段和相關播放資產。透過使用簽章的 Cookie,用戶端可以驗證每個請求,而不需要為每個區段產生新的簽章 URL。

注意

  • 建立 URL 簽章只是使用已簽章 Cookie 提供私有內容程序的一部分。如需詳細資訊,請參閱使用已簽章的 Cookie

下列各節會將程式碼範例細分為個別部分。您可以在下面找到完整的程式碼範例

建立 RSA SHA-1 簽章

此程式碼範例會執行下列動作:

  1. 函數會rsa_sha1_sign雜湊並簽署政策陳述式。所需的引數為政策陳述式,以及與您分佈之信任金鑰群組中公有金鑰對應的私有金鑰。

  2. 接著,該 url_safe_base64_encode 函數會建立已簽章的 URL 安全版本。

    function rsa_sha1_sign($policy, $private_key_filename) {
    $signature = "";
    $fp = fopen($private_key_filename, "r");
    $priv_key = fread($fp, 8192);
    fclose($fp);
    $pkeyid = openssl_get_privatekey($priv_key);
    openssl_sign($policy, $signature, $pkeyid);
    openssl_free_key($pkeyid);
    return $signature;
}

function url_safe_base64_encode($value) {
    $encoded = base64_encode($value);
    return str_replace(
        array('+', '=', '/'),
        array('-', '_', '~'),
        $encoded);
}

下列程式碼會使用下列 Cookie 屬性來建構 建立簽章的 Cookie:CloudFront-ExpiresCloudFront-SignatureCloudFront-Key-Pair-Id。程式碼使用自訂政策。

function create_signed_cookies($resource, $private_key_filename, $key_pair_id, $expires, $client_ip = null) {
    $policy = array(
        'Statement' => array(
            array(
                'Resource' => $resource,
                'Condition' => array(
                    'DateLessThan' => array('AWS:EpochTime' => $expires)
                )
            )
        )
    );

    if ($client_ip) {
        $policy['Statement'][0]['Condition']['IpAddress'] = array('AWS:SourceIp' => $client_ip . '/32');
    }

    $policy = json_encode($policy);
    $encoded_policy = url_safe_base64_encode($policy);
    $signature = rsa_sha1_sign($policy, $private_key_filename);
    $encoded_signature = url_safe_base64_encode($signature);

    return array(
        'CloudFront-Policy' => $encoded_policy,
        'CloudFront-Signature' => $encoded_signature,
        'CloudFront-Key-Pair-Id' => $key_pair_id
    );
}

如需詳細資訊,請參閱使用自訂政策設定已簽章的 Cookie

完整程式碼

下列範例程式碼提供使用 PHP 建立 CloudFront 簽章 Cookie 的完整示範。您可以從 demo-php.zip 檔案下載完整範例。

在下列範例中,您可以修改 $policy Condition元素,以允許 IPv4 和 IPv6 地址範圍。如需範例,請參閱《Amazon Simple Storage Service 使用者指南》中的在 IAM 政策中使用 IPv6 地址

<?php

function rsa_sha1_sign($policy, $private_key_filename) {
    $signature = "";
    $fp = fopen($private_key_filename, "r");
    $priv_key = fread($fp, 8192);
    fclose($fp);
    $pkeyid = openssl_get_privatekey($priv_key);
    openssl_sign($policy, $signature, $pkeyid);
    openssl_free_key($pkeyid);
    return $signature;
}

function url_safe_base64_encode($value) {
    $encoded = base64_encode($value);
    return str_replace(
        array('+', '=', '/'),
        array('-', '_', '~'),
        $encoded);
}

function create_signed_cookies($resource, $private_key_filename, $key_pair_id, $expires, $client_ip = null) {
    $policy = array(
        'Statement' => array(
            array(
                'Resource' => $resource,
                'Condition' => array(
                    'DateLessThan' => array('AWS:EpochTime' => $expires)
                )
            )
        )
    );

    if ($client_ip) {
        $policy['Statement'][0]['Condition']['IpAddress'] = array('AWS:SourceIp' => $client_ip . '/32');
    }

    $policy = json_encode($policy);
    $encoded_policy = url_safe_base64_encode($policy);
    $signature = rsa_sha1_sign($policy, $private_key_filename);
    $encoded_signature = url_safe_base64_encode($signature);

    return array(
        'CloudFront-Policy' => $encoded_policy,
        'CloudFront-Signature' => $encoded_signature,
        'CloudFront-Key-Pair-Id' => $key_pair_id
    );
}



$private_key_filename = '/home/test/secure/example-priv-key.pem';
$key_pair_id = 'K2JCJMDEHXQW5F';
$base_url = 'https://d1234.cloudfront.net';

$expires = time() + 3600; // 1 hour from now

// Get the viewer real IP from the x-forward-for header as $_SERVER['REMOTE_ADDR'] will return viewer facing IP. An alternative option is to use CloudFront-Viewer-Address header. Note that this header is a trusted CloudFront immutable header. Example format: IP:PORT ("CloudFront-Viewer-Address": "1.2.3.4:12345")
$client_ip = $_SERVER['HTTP_X_FORWARDED_FOR'];


// For HLS manifest and segments (using wildcard)
$hls_resource = $base_url . '/sign/*';
$signed_cookies = create_signed_cookies($hls_resource, $private_key_filename, $key_pair_id, $expires, $client_ip);

// Set the cookies
$cookie_domain = parse_url($base_url, PHP_URL_HOST);
foreach ($signed_cookies as $name => $value) {
    setcookie($name, $value, $expires, '/', $cookie_domain, true, true);
}

?>

<!DOCTYPE html>
<html>
<head>
    <title>CloudFront Signed HLS Stream with Cookies</title>
</head>
<body>
    <h1>Amazon CloudFront Signed HLS Stream with Cookies</h1>
    <h2>Expires at <?php echo gmdate('Y-m-d H:i:s T', $expires); ?> only viewable by IP <?php echo $client_ip; ?></h2>
    
    <div id='hls-video'>
        <video id="video" width="640" height="360" controls></video>
    </div>

    <script src="https://cdn.jsdelivr.net/npm/hls.js@latest"></script>
    <script>
        var video = document.getElementById('video');
        var manifestUrl = '<?php echo $base_url; ?>/sign/manifest.m3u8';
        
        if (Hls.isSupported()) {
            var hls = new Hls();
            hls.loadSource(manifestUrl);
            hls.attachMedia(video);
        }
        else if (video.canPlayType('application/vnd.apple.mpegurl')) {
            video.src = manifestUrl;
        }
    </script>
</body>
</html>

您可以使用已簽章的 URLs Cookie。如需詳細資訊,請參閱使用 PHP 建立 URL 簽章