说到视频加密，可能会有同学有这样的疑问：咦，存在 COS 上的文件不是可以设置成私有读么，再结合防盗链功能，这不是已经很安全了，那我为什么还要多此一举，来对视频进行加密呢？

1.1 私有读写权限

1.2 防盗链功能

1.3 视频加密功能

2.1 实现原理

1）流程图：

2）加密流程：

1. 用户侧将视频文件上传到 COS，触发 COS 数据工作流。

2. COS 收到加密请求后，向 KMS 服务请求加密密钥。

3. COS 拿到加密密钥后，对视频文件进行 HLS 转码加密。

4. 加密完成后，COS 通过 CDN 分发加密后的 HLS 视频文件。

3）解密流程：

1. 获取加密生成的 m3u8 文件对象地址。

2. 播放器解析 m3u8 文件，向密钥服务请求解密密钥。

3. 密钥服务先根据用户逻辑自行判断用户身份合法性，再通过调用 KMS 服务的 API 查询密钥，返回给播放器。

4. 播放器拿到解密密钥后，对 HLS 视频分片进行解密并播放。

说明：

• KMS 服务：本加密方案中，COS 接入了腾讯云 KMS 服务。腾讯云 KMS 服务是一款安全管理类服务，可以轻松创建和管理密钥，保护密钥的保密性、完整性和可用性。

• 密钥服务：业务侧需自行搭建的密钥服务，用户身份鉴权和解密密钥的获取。

2.2 整体步骤

基于上述原理，进行如下三个详细操作步骤，便可以实现对视频的加解密与播放。文末我们提供了一个样例 demo，欢迎体验。

1. 控制台配置步骤；

2. 搭建密钥服务；

3. 播放 HLS 加密视频；

3.1 COS 控制台配置步骤

COS 数据工作流，帮助您快速、灵活、按需搭建视频处理流程。每个工作流与输入存储桶的一个路径绑定，当视频文件上传至该路径时，该媒体工作流就会被自动触发，执行指定的处理操作，并将处理结果自动保存至输出存储桶的指定路径下。此外，若针对已存在于存储桶中的文件，您可创建任务进行媒体处理、语音识别、文档处理等操作，快速帮您完成单任务处理。

4、单击确定，完成加密模板配置后，在左侧导航栏中，选择数据工作流 > 工作流 > 创建工作流，进行工作流配置。

3.2 搭建密钥服务

密钥服务用于业务侧身份鉴权和解密密钥的获取，先根据用户逻辑自行判断用户身份合法性，身份验证通过后，再通过调用 KMS 服务的 API 查询密钥，返回给播放器。

1、进入 密钥相关接口（https://console.cloud.tencent.com/api/explorer?Product=kms&Version=2019-01-18&Action=Decrypt&SignVersion=），根据自己的开发语言生成对应的 KMS API 调用示例代码。

2、下面以 Node.js 为例，基于 KMS API 调用示例代码，搭建一个 HTTP Server  作为密钥服务，获取解密密钥。

const Koa = require('koa')const cors = require('koa2-cors')const app = new Koa()const tencentcloud = require("tencentcloud-sdk-nodejs") app.use(cors()) // 跨域配置app.use(getKMSDecryptKey(ctx)) // 获取 KMS 解密密钥 // 监听8080端口app.listen('8080', () => { console.log('127.0.0.1:8080');}) // 获取 KMS 解密密钥中间件async function getKMSDecryptKey(ctx) { // 生成的m3u8文件中的URI请求会默认带上参数 const { Ciphertext, KMSRegion } = ctx.query  const KmsClient = tencentcloud.kms.v20190118.Client const clientConfig = { credential: { // 账号API密钥，可前往https://console.cloud.tencent.com/cam/capi获取 secretId: "SecretId", secretKey: "SecretKey", },  region: KMSRegion, // 所在园区，eg："ap-guangzhou" profile: { httpProfile: { endpoint: "kms.tencentcloudapi.com", }, }, };  // 创建KMS对象实例 const client = new KmsClient(clientConfig); const params = { "CiphertextBlob": Ciphertext, };  try { // 发起请求，获取解密密钥 const res = await client.Decrypt(params)  // 取出密钥，base64解密后返回其二进制数据 const plaintext = res.Plaintext const plainBuff = Buffer.from(plaintext, 'base64'); ctx.body = plainBuff } catch (error) { console.log(error); }} 

3.3 播放 HLS 加密视频

利用腾讯云超级播放器，传入 HLS 加密生成的 m3u8 文件对象地址，播放器解析 m3u8 文件，向密钥服务地址 UriKey 获取密钥后，解密对应的视频分片，进而播放视频。

1、在页面中引入播放器样式文件与脚本文件；

<!--播放器样式文件--><link href="https://web.sdk.qcloud.com/player/tcplayer/release/v4.2.2/tcplayer.min.css" rel="stylesheet"/><!--如果需要在 Chrome 和 Firefox 等现代浏览器中通过 H5 播放 HLS 格式的视频，需要在 tcplayer.v4.2.2.min.js 之前引入 hls.min.0.13.2m.js。--><script src="https://web.sdk.qcloud.com/player/tcplayer/release/v4.2.2/libs/hls.min.0.13.2m.js"></script><!--播放器脚本文件--><script src="https://web.sdk.qcloud.com/player/tcplayer/release/v4.2.2/tcplayer.v4.2.2.min.js"></script>

建议在正式使用播放器SDK时，自行部署以上相关静态资源，单击下载播放器资源（https://web.sdk.qcloud.com/player/tcplayer/release/v4.2.2/release.zip）。

部署解压后的文件夹，不能调整文件夹里面的目录，避免资源互相引用异常。

2、设置播放器容器节点；

在需要展示播放器的页面位置加入播放器容器。例如，在 index.html 中加入如下代码（容器 ID 以及宽高都可以自定义）。

<video id="player-container-id" width="414" height="270" preload="auto" playsinline webkit-playsinline></video>

3、初始化播放器并设置 URL；

1）获取前面控制台配置步骤中加密生成的 m3u8 文件对象地址；

2）初始化播放器，并传入 m3u8 对象地址。

var player = TCPlayer('player-container-id', {}); // player-container-id 为播放器容器 ID，必须与 html 中一致player.src(https://examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/path/example.m3u8); // m3u8对象地址

3.4 效果

1、成功获取到 m3u8 文件和解密密钥；

2、成功解密并播放视频；