Проксирование онлайн-видео: закрыть стримы от прямого доступа — secure_download + ???

Question

[Арвид Годюк]

Ситуация простая — есть видео стримы, которые могут смотреть только регистрированные пользователи — в скачиваемые плей листы зашивается ссылки на соотвествующие стримы с API ключами, индивидуальные для каждого юзера. Когда юзер хочет посмотреть стрим — он попадает по ссылке на скрипт, который авторизует юзера и перенаправляет его на ссылку, закрытую с помощью secure_download ссылки. С этим всё отлично и ссылки корректно закрыты.

Система такова, что есть фронт-енд нода, которая обрабатывает WEB запросы и набор стриминг серверов.

А вот теперь сложная часть — человек попадает на ссылку просмотра и мне нужно человека через скрипт отправить на стрим так, что бы он адрес самого стрима не видел. Напрашивается X-Accel-Redirect, но он позволяет редиректить только на внутренние ссылки, т.е. нельзя применить эту технологию для проксирования на внешний сервер.

В интернете вариантов не много, но нашел вот такое решение: kovyrin.net/2010/07/24/nginx-fu-x-accel-redirect-remote/

Другой вариант, который мне пришел в голову, это поставить WEB часть на каждый сервак и редиректить юзера с новым secure_link на внешний сервак где стрим и уже там делать внутренний редирект nginx для проксирования стрима.

Собственно вопрос — а какие есть ещё варианты?

Answer 1

[VBart]

Напрашивается X-Accel-Redirect, но он позволяет редиректить только на внутренние ссылки, т.е. нельзя применить эту технологию для проксирования на внешний сервер.

Он позволяет все, что угодно. И пример по ссылке — прямое тому доказательство. А там уж как вы сконфигурируете. К слову, то же самое можно было бы записать всего парой директив.

Comments

[Арвид Годюк]

На самом деле мне нужно что-то типа X-Proxy-Redirect — такого к сожалению нету. Я не могу в X-Accel-Redirect указать какой-то внешний URL — только URI, т.е. нельзя example.com/blabla.avi, а можно /files/blabla.avi

[VBart]

Почему не можете? Указывайте на здоровье, только потом напишите правильный location, как вы его хотите обрабатывать.

[Арвид Годюк]

Ну честно говоря выглядит как костыль, но в общем-то вы правы. Я говорил просто о том, что я не могу указать сразу внешний URL на другой сервер и что-бы его nginx проксировал — вместо этого нужно вот извратится с location и специальным форматом передачи ссылки, которую нужно проксировать.

В общем для себя вообще решили ставить nginx на конечные сервера и закрывать там через secure link тоже. Получается архитектура из двух уровней — не пройдя первый, обратится сразу ко второму нельзя, т.к. неизвестен линк на который обращаться.