如何在 Node.js/HTML 中实现带身份验证的视频流播放
发布时间 - 2026-01-07 00:00:00 点击率:次本文详解如何在前后端分离架构下,安全地流式传输受保护的 mp4 视频:前端通过 credentials 模式携带 cookie 中的认证凭证,后端解析 cookie 验证权限,并正确处理 http range 请求以支持拖拽、暂停等播放功能。
要在浏览器中流畅播放受身份验证保护的视频(如需登录或 Token 授权),仅靠
✅ 前端关键配置:启用 credentials 模式
将
⚠️ 注意事项:
- crossOrigin="use-credentials" 要求后端响应必须包含 Access-Control-Allow-Credentials: true;
- 同时,Access-Control-Allow-Origin *不能为 `**,必须指定明确的源(如https://www./link/ab3e363159c8a7f02c774f0d6bc7c922`);
- 浏览器会自动附带当前域下的 Cookie(包括 HttpOnly 的认证 Cookie),无需手动读取或设置 header。
✅ 后端适配:从 Cookie 提取 Token 并校验
你已有的视频流路由需嵌入认证中间件,但注意:视频请求由 。因此,认证逻辑应优先检查 Cookie:
// 示例中间件(Express)
const authenticateFromCookie = (req, res, next) => {
const token = req.cookies?.auth_token; // 或根据你的 Cookie 名调整,如 'connect.sid'
if (!token) return res.status(401).send('Unauthorized');
try {
const decoded = jwt.verify(token, process.env.JWT_SECRET);
req.user = decoded;
next();
} catch (err) {
res.status(403).send('Invalid or expired token');
}
};
// 在视频路由前使用
router.get('/v1/video/get/:id', authenticateFromCookie, (req, res) => {
const { id } = req.params;
if (!id) return res.status(500).send({ message: 'Invalid request' });
const videoPath = `videos/${id}.mp4`;
// ✅ 确保路径安全:防止目录遍历(建议
用 path.join + path.normalize 校验)
if (!fs.existsSync(videoPath)) {
return res.status(404).send('Video not found');
}
const videoStat = fs.statSync(videoPath);
const fileSize = videoStat.size;
const videoRange = req.headers.range;
if (videoRange) {
const parts = videoRange.replace(/bytes=/, "").split("-");
const start = parseInt(parts[0], 10);
const end = parts[1] ? parseInt(parts[1], 10) : fileSize - 1;
if (start >= fileSize || end >= fileSize || start > end) {
return res.status(416).send('Requested range not satisfiable');
}
const chunkSize = end - start + 1;
const file = fs.createReadStream(videoPath, { start, end });
res.writeHead(206, {
'Content-Range': `bytes ${start}-${end}/${fileSize}`,
'Accept-Ranges': 'bytes',
'Content-Length': chunkSize,
'Content-Type': 'video/mp4',
'Access-Control-Allow-Credentials': 'true',
'Access-Control-Allow-Origin': 'https://www./link/ab3e363159c8a7f02c774f0d6bc7c922' // ⚠️ 必须显式声明,不可为 *
});
file.pipe(res);
} else {
res.writeHead(200, {
'Content-Length': fileSize,
'Content-Type': 'video/mp4',
'Access-Control-Allow-Credentials': 'true',
'Access-Control-Allow-Origin': 'https://www./link/ab3e363159c8a7f02c774f0d6bc7c922'
});
fs.createReadStream(videoPath).pipe(res);
}
});
用 path.join + path.normalize 校验)
if (!fs.existsSync(videoPath)) {
return res.status(404).send('Video not found');
}
const videoStat = fs.statSync(videoPath);
const fileSize = videoStat.size;
const videoRange = req.headers.range;
if (videoRange) {
const parts = videoRange.replace(/bytes=/, "").split("-");
const start = parseInt(parts[0], 10);
const end = parts[1] ? parseInt(parts[1], 10) : fileSize - 1;
if (start >= fileSize || end >= fileSize || start > end) {
return res.status(416).send('Requested range not satisfiable');
}
const chunkSize = end - start + 1;
const file = fs.createReadStream(videoPath, { start, end });
res.writeHead(206, {
'Content-Range': `bytes ${start}-${end}/${fileSize}`,
'Accept-Ranges': 'bytes',
'Content-Length': chunkSize,
'Content-Type': 'video/mp4',
'Access-Control-Allow-Credentials': 'true',
'Access-Control-Allow-Origin': 'https://www./link/ab3e363159c8a7f02c774f0d6bc7c922' // ⚠️ 必须显式声明,不可为 *
});
file.pipe(res);
} else {
res.writeHead(200, {
'Content-Length': fileSize,
'Content-Type': 'video/mp4',
'Access-Control-Allow-Credentials': 'true',
'Access-Control-Allow-Origin': 'https://www./link/ab3e363159c8a7f02c774f0d6bc7c922'
});
fs.createReadStream(videoPath).pipe(res);
}
});? 安全增强建议
- 路径校验:严格校验 id 参数,避免路径遍历攻击(如 ../../../etc/passwd);推荐使用白名单或 UUID,并将视频文件存于非公开目录。
- Token 绑定:JWT 可绑定用户 ID、IP 或设备指纹,提升会话安全性。
- CORS 精确配置:生产环境禁用通配符 *,动态匹配可信源(如 res.header('Access-Control-Allow-Origin', allowedOrigins.includes(origin) ? origin : ''))。
- 流式错误处理:对 fs.createReadStream 添加 .on('error') 监听,避免崩溃。
✅ 总结
实现带认证的视频流,关键在于三点协同:
- 前端
- 后端 CORS 响应头明确允许凭据且指定 Origin;
- 认证中间件从 req.cookies 读取并校验 Token,而非依赖 Authorization 头。
如此,即可在保障安全的前提下,无缝支持现代浏览器的全部视频控制功能(快进、音量调节、全屏等),无需额外封装 Blob 或 MediaSource API。
# html
# js
# 前端
# node.js
# node
# cookie
# 浏览器
# access
# 后端
# 路由
# stream
# 跨域
# 架构
# 中间件
# 封装
相关栏目:
【
网站优化151355 】
【
网络推广146373 】
【
网络技术251813 】
【
AI营销90571 】
相关推荐:
Laravel如何连接多个数据库_Laravel多数据库连接配置与切换教程
如何在IIS管理器中快速创建并配置网站?
QQ浏览器网页版登录入口 个人中心在线进入
LinuxShell函数封装方法_脚本复用设计思路【教程】
公司门户网站制作流程,华为官网怎么做?
微信小程序 HTTPS报错整理常见问题及解决方案
JavaScript如何实现继承_有哪些常用方法
大连网站制作费用,大连新青年网站,五年四班里的视频怎样下载啊?
html文件怎么打开证书错误_https协议的html打开提示不安全【指南】
详解Android中Activity的四大启动模式实验简述
Windows驱动无法加载错误解决方法_驱动签名验证失败处理步骤
深圳网站制作公司好吗,在深圳找工作哪个网站最好啊?
Laravel全局作用域是什么_Laravel Eloquent Global Scopes应用指南
php打包exe后无法访问网络共享_共享权限设置方法【教程】
Android中Textview和图片同行显示(文字超出用省略号,图片自动靠右边)
个人摄影网站制作流程,摄影爱好者都去什么网站?
Laravel如何使用Livewire构建动态组件?(入门代码)
如何快速上传自定义模板至建站之星?
jquery插件bootstrapValidator表单验证详解
Win11怎么设置默认图片查看器_Windows11照片应用关联设置
宙斯浏览器视频悬浮窗怎么开启 边看视频边操作其他应用教程
EditPlus中的正则表达式 实战(1)
如何在 Go 中优雅地映射具有动态字段的 JSON 对象到结构体
详解Oracle修改字段类型方法总结
Bootstrap整体框架之CSS12栅格系统
phpredis提高消息队列的实时性方法(推荐)
如何用IIS7快速搭建并优化网站站点?
详解jQuery中的事件
html5怎么画眼睛_HT5用Canvas或SVG画眼球瞳孔加JS控制动态【绘制】
Laravel怎么生成二维码图片_Laravel集成Simple-QrCode扩展包与参数设置【实战】
网站广告牌制作方法,街上的广告牌,横幅,用PS还是其他软件做的?
Bootstrap CSS布局之列表
Laravel的辅助函数有哪些_Laravel常用Helpers函数提高开发效率
Laravel怎么使用artisan命令缓存配置和视图
详解免费开源的.NET多类型文件解压缩组件SharpZipLib(.NET组件介绍之七)
Win11摄像头无法使用怎么办_Win11相机隐私权限开启教程【详解】
ChatGPT回答中断怎么办 引导AI继续输出完整内容的方法
Laravel路由怎么定义_Laravel核心路由系统完全入门指南
北京企业网站设计制作公司,北京铁路集团官方网站?
如何用JavaScript实现文本编辑器_光标和选区怎么处理
Gemini手机端怎么发图片_Gemini手机端发图方法【步骤】
Python企业级消息系统教程_KafkaRabbitMQ高并发应用
标题:Vue + Vuex 项目中正确使用 JWT 进行身份认证的实践指南
Laravel如何记录日志_Laravel Logging系统配置与自定义日志通道
浅述节点的创建及常见功能的实现
Laravel怎么实现验证码(Captcha)功能
Laravel如何优雅地处理服务层_在Laravel中使用Service层和Repository层
大学网站设计制作软件有哪些,如何将网站制作成自己app?
专业型网站制作公司有哪些,我设计专业的,谁给推荐几个设计师兼职类的网站?
音乐网站服务器如何优化API响应速度?