【最佳实践】巡检项:云直播(CSS)推流开启鉴权

问题描述

1、什么是鉴权和回调

鉴权

保护用户上传到云直播的内容资源不被非法站点下载盗用

回调

数据交互分成两种类型: 一种是从服务端主动推送到客户端; 另一种是从客户端主动推送数据到服务端,也就是回调。

当直播过程中域名关联模板事件被触发时,腾讯云将主动发送请求到客户服务器,客户服务器负责应答请求。验证通过后,则可被动获取到含直播事件回调信息的 JSON 数据包。

目前直播事件触发消息通知支持事件包括:直播推流、直播断流、直播录制、直播截图、直播鉴黄事件消息通知。

回调事件接收事件通知的过程
  1. 主播在控制台或直接调用云 API 配置事件消息通知 URL 以及录制、截图等相关功能
  2. 主播进行直播推断流
  3. 当直播服务内部有事件发生时,消息将会经由事件消息通知服务统一回调给客户后台

2、未开启鉴权和回调的隐患

通过 Referer 防盗链配置自定义 Referer 黑/白名单及规则内容,允许或拒绝播放请求;以及通过 IP 黑白名单配置自定义 IP 黑/白名单及规则和内容,通过请求 IP 对请求进行过滤,实现访问限制。这些可以保护直播内容,解决部分盗链问题。但是,Referer内容是可以伪造的,采用鉴权则为安全性再加一层保障。

3、警告条件和风险等级

未开启鉴权,且未开启直播回调 <--> 风险

未开启鉴权,但开启了直播回调 <--> 风险

解决方案及影响

4、如何开启鉴权?

云直播推流域名默认开启推流鉴权。

相关文档:https://cloud.tencent.com/document/product/267/32833

鉴权配置

5、如何开启回调?

直播推流默认关闭回调功能,当推流域名已关联回调配置后,该域名下所有的推流地址都均开启回调功能。

回调配置
  • 创建回调模板
    • 通过控制台:https://cloud.tencent.com/document/product/267/20388
    • 通过API:https://cloud.tencent.com/document/api/267/32637
  • 回调配置(约5分钟 - 10分钟生效):https://cloud.tencent.com/document/product/267/35254
  • 通过事件消息通知被动获取到具体直播事件信息:https://cloud.tencent.com/document/product/267/32744

6、开启鉴权和回调后对现有业务有什么影响?

开启推流鉴权配置后,新推流将启用鉴权,已推的在线流不会被断流。

开启回调配置后,新推流将启用回调,已推的流不会触发回调规则,需要重新推流才会发起回调