Embed-Token vs Signed URL — Zwei Muster für Video-Zugriffskontrolle

Embed-Token vs Signed URL

Zwei Muster, um zu kontrollieren, wer ein Video abspielen darf: opake Embed-Tokens (serverseitige Auflösung) und Signed URLs (HMAC-signierte Query-Strings). Beides ist verbreitet; sie haben unterschiedliche Trade-offs.

Embed-Tokens (opak)

Eine kurze, opake Zeichenkette, die serverseitig auf Zugriffs-Metadaten abbildet: Video-ID, erlaubte Origins, Ablauf, Zuschauer-ID für Wasserzeichen, Rate-Limits.

Vorteile:

  • Echtzeit-Widerruf — Token in der DB invalidieren, und der nächste Schlüssel-Fetch schlägt fehl.
  • Reichhaltige Metadaten — Analytics pro Token, individuelle Rate-Limits, dynamische Wasserzeichen-Bindung.
  • Kurze, saubere URLs — /watch/abc123.

Nachteile:

  • Serverseitiger Zustand — jeder Schlüssel-Fetch validiert das Token per DB-Lookup.
  • Etwas höhere Latenz bei nicht-gecachten Lookups.

Verwendet von: AVCaption.

Signed URLs (HMAC)

Eine URL mit angehängter kryptografischer Signatur: /segment.ts?expires=1735689600&sig=abcdef.... Die Signatur wird vom Plattform-Server mit einem Geheimschlüssel berechnet und am Edge verifiziert — kein DB-Lookup nötig.

Vorteile:

  • Zustandslos — am CDN-Edge ohne Server-Roundtrip prüfbar.
  • Schnell — kryptografische Prüfung in Mikrosekunden.

Nachteile:

  • Kein Widerruf — einmal signiert, gültig bis zum Ablauf.
  • Weniger Metadaten — nur was sich in URL-Parameter codieren lässt.
  • Längere URLs.

Verwendet von: AWS S3 Presigned URLs, CloudFront Signed URLs, Cloudflare Stream Signed URLs.

Wann was sinnvoll ist

Embed-Token (opak) ist richtig, wenn:

  • Sie Zugriff nach Ausgabe widerrufen müssen (Erstattungen, Account-Sperren)
  • Sie Pro-Zuschauer-Analytics oder dynamisches Wasserzeichen wollen
  • Sie kurze, saubere URLs zum Einbetten möchten

Signed URL ist richtig, wenn:

  • Sie in extremem Maßstab arbeiten und DB-Lookup-Overhead zählt
  • Widerruf nicht erforderlich ist (kurze Ablaufzeit reicht)
  • Ihre Auslieferungsschicht (CDN-Edge) Signaturen nativ verifiziert

Für kostenpflichtige Kurse und geschützte Inhalte sind opake Embed-Tokens die bessere Wahl. Für einmalige öffentliche Verteilung sind Signed URLs einfacher.

AVCaption nutzt opake Tokens mit optionaler Pro-Sitzungs-Generierung über die REST-API für dynamische Zugriffskontrolle.

Verwandt

← content.back_to_index