天翼云CDN加速域名管理 - URL鉴权配置
文档简介:
简述URL鉴权的适用场景和配置方法。
功能介绍:
默认情况下在CDN分发的内容大部分都是公开资源,用户请求URL后都可以直接进行访问。为了防止站点资源被恶意下载或者非法盗用,避免产生不必要的带宽浪费,您可以在天翼云CDN上配置URL鉴权功能。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
简述URL鉴权的适用场景和配置方法。
功能介绍
默认情况下在CDN分发的内容大部分都是公开资源,用户请求URL后都可以直接进行访问。为了防止站点资源被恶意下载或者非法盗用,避免产生不必要的带宽浪费,您可以在天翼云CDN上配置URL鉴权功能。配置URL鉴权后,CDN会对加密串及时间戳进行校验,从而有效地保护用户站点资源。
适用场景
1、需要对站点资源限制用户访问,避免资源被恶意下载或者非法盗用。
2、请求的资源都具有一定的时效性,超过时效则不允许访问。
注意事项
1、配置URL鉴权需要客户端跟CDN配合一起开启。
2、配置鉴权后,用户将携带鉴权参数访问,建议缓存策略修改为忽略鉴权参数进行缓存,否则将增大回源概率。
3、当鉴权参数发生变更时,需要通知CDN配合更改,否则将导致用户请求异常。
4、如果您的鉴权URL中含有中文或特殊字符,需先进行URL转码(即Encode)后使用。
配置说明
天翼云提供三种鉴权方式供您参考配置,以下为详细的鉴权原理及配置说明。
(一)鉴权方式A
1、原理说明
- 鉴权方式A访问URL构成:http://DomainName/Filename?auth_key=timestamp-rand-uid-md5hash。
- 鉴权字段说明:
| 字段 | 描述 |
|---|---|
| DomainName | CDN加速域名。 |
| Filename | 实际回源访问的URL,鉴权时Filename需以/开头。不包含?后面的参数。 |
| auth_key | 设定的鉴权参数名,默认为auth_key,也可自定义。 |
| timestamp |
鉴权服务器生成鉴权URL的时间,即:鉴权开始时间,值为1970年1月1日以来的当前时间秒数 ,十进制整数。 备注:与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期=timestamp+CDN配置的鉴权URL有效时长。 |
| rand | 随机数。0 - 64位随机字符串,由大小写字母与数字组成,例如:477b3bbcf6711128c7bec。 |
| uid | 用户ID,暂未使用,设置成0即可。 |
| md5hash | 通过MD5算法计算出的32位字符串。计算公式如下:md5hash = md5sum(Filename-timestamp-rand-uid-key)。 |
-
校验方法
CDN服务器拿到请求后,会按照如下步骤进行校验:
- 是否携带鉴权参数。如果没有携带鉴权参数,认为请求非法,返回HTTP 403错误。
- 时间校验:判断系统当前时间是否在区间[timestamp,timestamp+有效时间]内。超出该区间,认为过期失效并返回HTTP 403错误。
- 加密串校验:时间校验通过后,比对CDN服务器计算出来的md5hash值与访问请求中带的md5hash值是否相同,结果一致则认为鉴权通过并返回文件,否则鉴权失败返回HTTP 403错误。
2、该功能暂不支持客户自助配置,如需使用,请通过提交工单给天翼云客服,由其人工操作开启。提交工单时请附带如下信息:
| 参数 | 说明 |
|---|---|
| 加密参数 | 默认为auth_key,也可自定义。 |
| 加密key | 设定的鉴权密钥。 |
| 鉴权URL有效时长 | 判断时间戳是否过期。 |
| 加密元素分隔符 | 默认使用中划线(-),也可自定义。 |
(二)鉴权方式B
1、原理说明
- 鉴权方式B访问URL构成:http://DomainName/timestamp/md5hash/FileName。
- 鉴权字段说明:
| 字段 | 描述 |
|---|---|
| DomainName | CDN加速域名。 |
| Filename | 实际回源访问的URL,鉴权时Filename需以/开头。不包含?后面的参数。 |
| timestamp |
鉴权服务器生成鉴权URL的时间,即:鉴权开始时间,值为1970年1月1日以来的当前时间秒数 ,十进制整数。 备注:与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期=timestamp+CDN配置的鉴权URL有效时长。 |
| md5hash |
通过MD5算法计算出的32位字符串。计算公式如下:md5hash = md5sum(keytimestampFileName)。 备注1:md5加密元素分隔符默认无符号,也可自定义。 备注2:这里的key为用户设定的鉴权秘钥,长度6到32,由大小写字母与数字组成,例如:ctcdnkey123。 |
-
校验方法
CDN服务器拿到请求后,会按照如下步骤进行校验:
- 时间校验:判断系统当前时间是否在区间[timestamp,timestamp+有效时间]内。超出该区间,认为过期失效并返回HTTP 403错误。
- 加密串校验:时间校验通过后,比对CDN服务器计算出来的md5hash值与访问请求中带的md5hash值是否相同,结果一致则认为鉴权通过并返回文件,否则鉴权失败返回HTTP 403错误。
2、该功能暂不支持客户自助配置,如需使用,请通过提交工单给天翼云客服,由其人工操作开启。提交工单时请附带如下信息:
| 参数 | 说明 |
|---|---|
| 加密key | 设定的鉴权密钥。 |
| 鉴权URL有效时长 | 判断时间戳是否过期。 |
| 加密元素分隔符 | 默认无符号,也可自定义。 |
(三)鉴权方式C
1、原理说明
- 鉴权方式C访问URL构成:http://DomainName/FileName?auth_key=md5hash×tamp=timestamp。
- 鉴权字段说明:
| 字段 | 描述 |
|---|---|
| DomainName | CDN加速域名。 |
| Filename | 实际回源访问的URL,鉴权时Filename需以/开头。不包含?后面的参数。 |
| auth_key | 设定的鉴权参数名,默认为auth_key,也可自定义。 |
| timestamp |
鉴权服务器生成鉴权URL的时间,即:鉴权开始时间,值为1970年1月1日以来的当前时间秒数 ,十进制整数。 备注:与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期=timestamp+CDN配置的鉴权URL有效时长。 |
| md5hash |
通过MD5算法计算出的32位字符串。计算公式如下:md5hash = md5sum(KeyFilenameTimestamp)。 备注1:md5加密元素分隔符默认无符号,也可自定义。 备注2:这里的key为用户设定的鉴权秘钥,长度6到32,由大小写字母与数字组成,例如:ctcdnkey123。 |
-
校验方法
CDN服务器拿到请求后,会按照如下步骤进行校验:
- 是否携带鉴权参数。如果没有携带鉴权参数,认为请求非法,返回HTTP 403错误。
- 时间校验:判断系统当前时间是否在区间[timestamp,timestamp+有效时间]内。超出该区间,认为过期失效并返回HTTP 403错误。
- 加密串校验:时间校验通过后,比对CDN服务器计算出来的md5hash值与访问请求中带的md5hash值是否相同,结果一致则认为鉴权通过并返回文件,否则鉴权失败返回HTTP 403错误。
2、该功能暂不支持客户自助配置,如需使用,请通过提交工单给天翼云客服,由其人工操作开启。提交工单时请附带如下信息:
| 参数 | 说明 |
|---|---|
| 加密参数 | 默认为auth_key跟timestamp,也可自定义。 |
| 加密key | 设定的鉴权密钥。 |
| 鉴权URL有效时长 | 判断时间戳是否过期。 |
| 加密元素分隔符 | 默认无符号,也可自定义。 |
