访问控制

更新时间:2026-07-02 17:32:06

访问控制用于按客户端 IP、HTTP Referer、HTTP User-Agent、URL 签名令牌或远程鉴权服务器控制直播流访问权限。规则可按目录、文件类型或 URL 正则设置生效范围,并可通过优先级控制多条规则同时命中时的执行顺序。

包含以下功能:

功能 过滤维度 适用协议
IP 黑白名单 客户端 IP 地址或 CIDR 段 全部
Referer 防盗链 HTTP Referer 请求头 HLS、DASH、HTTP-FLV、WebRTC
UA 头黑白名单 HTTP User-Agent 请求头 HLS、DASH、HTTP-FLV、WebRTC
时间戳防盗链 URL 中的签名令牌和时间戳 全部
回源鉴权防盗链 鉴权服务器返回结果 全部

开始之前

  • 使用时间戳防盗链前,请准备签名密钥、URL 参数名称、时间戳格式及密文组合方式。
  • 使用回源鉴权防盗链前,请准备鉴权服务器地址、预期返回状态码、预期返回内容、超时策略及需要转发的请求参数。

进入访问控制页面

  1. 进入互动直播 > 自助配置
  2. 找到需要配置的域名,选择配置修改
  3. 在配置菜单中选择访问控制
  4. 访问控制页面展示 IP 黑白名单、Referer 防盗链、UA 头黑白名单、时间戳防盗链和回源鉴权防盗链。

配置 IP 黑白名单

IP 黑白名单按客户端 IP 地址或 CIDR 段允许或禁止访问。

  1. 访问控制页面,在 IP 黑白名单旁选择 + 添加
  2. IP 黑白名单弹窗中,从生效范围下拉菜单选择范围类型。
选项 生效对象 输入格式
指定目录 指定路径下的文件 路径以 / 开头和结尾,多个路径换行分隔。例如:/live/
指定文件类型 指定后缀名的文件 后缀名不含点,多个用英文分号(;)分隔。例如:flv;m3u8;ts
URL 正则匹配 匹配正则表达式的 URL 输入 URL 路径正则。例如:live/.*\.(m3u8\|flv)($\|.*)
  1. 输入对应的生效范围内容。
  2. 规则类型下,选择黑名单白名单

注意:只支持配置一条白名单规则。如需添加多个白名单条目,请将所有条目写入同一条白名单规则。

  1. IP/IP 段黑名单IP/IP 段白名单中输入 IP 地址或 CIDR 段,多个用英文分号(;)分隔。字段最多支持 65,535 个字符,约 3,000 个 IP。
  2. 优先级中输入整数。数值越大,规则越先执行。默认值为 10
  3. 选择确认

配置 Referer 防盗链

Referer 防盗链按 HTTP Referer 请求头允许或禁止访问,可用于限制哪些网站能够嵌入或链接您的直播流。

  1. 访问控制页面,在 Referer 防盗链旁选择 + 添加
  2. 生效范围下拉菜单选择范围类型,并输入生效范围内容。
  3. 规则类型下,选择黑名单白名单

注意:只支持配置一条白名单规则。如需添加多个白名单条目,请将所有条目写入同一条白名单规则。

  1. 选择输入模式:

    • 域名/URL 列表:使用固定域名或完整 URL。
    • 正则配置:使用模式或通配符式匹配。
  2. 根据所选模式填写 Referer 内容。

域名/URL 列表模式

字段 输入格式 示例
referer 黑/白名单(域名) 不含 http://https:// 的域名,多个换行分隔 www.example.com
referer 黑/白名单(URL) http://https:// 开头的完整 URL,多个换行分隔 https://www.example.com/player

正则配置模式

字段 是否必填 输入格式 示例
referer 黑/白名单(正则) 正则表达式,多个换行分隔 ^https?://www\.example\.com/.*
  1. 设置允许空 referer 访问。开启后,无 Referer 请求头的访问将被允许。
  2. 优先级中输入整数。默认值为 10
  3. 选择确认

配置 UA 头黑白名单

UA 头黑白名单按 HTTP User-Agent 请求头允许或禁止访问。

  1. 访问控制页面,在 UA 头黑白名单旁选择 + 添加
  2. 生效范围下拉菜单选择范围类型,并输入生效范围内容。
  3. 规则类型下,选择黑名单白名单

注意:只支持配置一条白名单规则。如需添加多个白名单条目,请将所有条目写入同一条白名单规则。

  1. User-Agent 黑名单User-Agent 白名单中输入 User-Agent 值,多个换行分隔。
  2. 优先级中输入整数。默认值为 10
  3. 选择确认

配置时间戳防盗链

时间戳防盗链要求播放 URL 携带签名和过期时间戳。CDN 节点验证签名和时间戳后决定是否允许访问。

  1. 访问控制页面,在时间戳防盗链旁选择 + 添加
  2. 生效范围下拉菜单选择范围类型,并输入生效范围内容。
  3. 配置令牌参数。
字段 是否必填 默认值 说明
密文参数名称 token URL 查询参数中承载签名的参数名称。
时间参数名称 time URL 查询参数中承载过期时间戳的参数名称。
KEY 签名密钥。多个密钥用英文分号(;)分隔。
加密时间格式 UNIX 时间戳 时间戳格式,选项包括 UNIX 时间戳16 进制
有效时间 令牌有效时长,单位为秒。最大值:31536000
密文组合方式 KEY+路径+时间 生成签名前,密钥、URI 路径和时间戳的拼接顺序。
  1. 密文组合方式中,选择与播放 URL 签名逻辑一致的拼接顺序。
选项 拼接顺序
KEY+路径+时间 密钥 → URI 路径 → 时间戳
KEY+时间+路径 密钥 → 时间戳 → URI 路径
路径+KEY+时间 URI 路径 → 密钥 → 时间戳
路径+时间+KEY URI 路径 → 时间戳 → 密钥
时间+路径+KEY 时间戳 → URI 路径 → 密钥
时间+KEY+路径 时间戳 → 密钥 → URI 路径
  1. 选择确认

配置回源鉴权防盗链

回源鉴权防盗链将请求信息转发至您的鉴权服务器,并根据鉴权服务器返回结果决定是否允许访问。

说明:回源鉴权防盗链不适用于 HLS 回源拉流域名。

  1. 访问控制页面,在回源鉴权防盗链旁选择修改
  2. 回源鉴权防盗链弹窗中,将回源鉴权设置为开启
  3. 鉴权方法下,选择 GETPOST
  4. 鉴权服务器地址中输入完整鉴权接口 URL,包括协议、域名、端口、路径及固定查询参数。例如:https://auth.example.com/api/check?service=live
  5. 可选:在鉴权 Host中输入 Host 请求头覆盖值,用于指定发往鉴权服务器的 Host 请求头。
  6. 保留参数设置下,选择原始 URL 参数的转发方式。
选项 行为
保留所有参数 转发原始请求 URL 中的所有查询参数。
删除所有参数 不转发原始请求 URL 中的查询参数。
保留指定参数 仅转发指定的查询参数。
  1. 鉴权可变参数下,选择点击配置,然后勾选需要转发给鉴权服务器的参数。可按需自定义发送给鉴权服务器的参数名称。
参数名称 默认参数 key 说明
客户端ip ip 请求客户端 IP 地址。
流名 streamName 直播流名称。
推拉流类型 type 流协议类型。
HOST host 原始请求主机名。
CDN 节点IP cdnip CDN 节点 IP 地址。
发布点 appName 直播发布点名称。
机器IP serverIp CDN 服务器 IP 地址。
请求URL url 原始请求 URL。
请求Referer referer 原始请求 Referer 请求头。
  1. 鉴权返回信息下,选择成功失败,然后配置返回匹配条件:
    • 返回状态码:鉴权服务器返回的 HTTP 状态码,多个用英文分号(;)分隔。
    • 返回内容:鉴权服务器返回的响应体内容。
  2. 鉴权超时时间中输入 110 之间的整数,单位为秒。默认值为 5
  3. 鉴权失败重试次数中输入 05 之间的整数。默认值为 0
  4. 鉴权超时处理下,选择鉴权服务器超时未响应时的处理动作:
    • 允许接入:鉴权超时时允许请求通过。
    • 禁止接入:鉴权超时时拒绝请求接入。
  5. 选择确认

参考

协议支持矩阵

功能 HLS DASH HTTP-FLV WebRTC RTMP
IP 黑白名单
Referer 防盗链
UA 头黑白名单
时间戳防盗链
回源鉴权防盗链
本篇文档内容对您是否有帮助?
有帮助
我要反馈
提交成功!非常感谢您的反馈,我们会继续努力做到更好!