本文档介绍火山引擎内容分发网络(CDN)中 URL 鉴权模块的 E 类型配置。
在 CDN 控制台中,您需要做以下配置:
配置 | 说明 |
---|---|
生效对象 | 表示哪些文件的请求需要被鉴权。您至少需要添加一个规则,最多可以添加 10 个。您可以指定多个规则之间的关系,默认是 或。或 表示匹配任何一个对象的请求就会被鉴权。且 表示只有匹配所有对象的请求才会被鉴权。每条规则包含条件类型、匹配方式和规则内容。
同时,
|
主 KEY | 指定一个主密钥。密钥由 6-40 个字符组成,只能包含除了 Delete(ASCII code 127)的可打印 ASCII 字符。 |
备 KEY | 指定一个备密钥。密钥的输入要求与主 Key 相同。如果鉴权失败,CDN 会使用备密钥再计算一次签名并尝试与请求中的签名比对。 |
签名参数 | 指定请求的签名参数名称。参数名称的说明如下:
|
有效时间 | 指定签名的有效时间,单位是秒。该配置与自定义计算规则中的 时间戳 参数搭配使用,用来计算签名的过期时间。该参数的取值范围是 0-315,360,000。签名的过期时间 = timestamp + 有效时间。在 CDN 收到某个请求时,如果请求中包含的签名的过期时间早于当前时间,CDN 判定签名已过期。此时,CDN 返回 403 响应状态码,表示鉴权失败。控制台中默认的有效时间是 1800 。 |
时间戳参数 | 指定请求的时间戳参数的名称。参数名称的说明如下:
|
时间格式 | 指定 Unix 时间戳的格式。 |
鉴权算法 | 表示签名计算使用的算法。该配置有以下取值:
说明 SHA-256 算法的安全性比 MD5 高,生成的哈希值出现碰撞的几率比 MD5 低,但是加密和解密过程的耗时比 MD5 长。 |
计算规则 | 指定参与签名计算的鉴权参数以及这些参数的顺序。 |
鉴权计算器 | 参见 鉴权计算器说明。 |
对于 E 类型,您可以添加自定义的变量用于签名计算。您最多可以添加 50 个变量。您可以点击 新增规则 添加一个变量获取的规则。规则的各配置说明如下:
配置 | 说明 |
---|---|
变量类型 | 指定变量的类型。该配置有以下取值:
|
取值方式 | 表示 CDN 如何将 参数取值 与 请求中的参数匹配。该配置的取值只能是 精确匹配。 |
参数取值 | 表示需要额外参与签名计算的变量名称。变量名称不能超过 100 个字符。其他要求如下:
|
操作 | 表示您可以对该规则进行的操作。 |
在您添加自定义变量后,您就可以在设置 计算规则 时选择该变量了。
scheme://host/uri?sign=\<signature\>&t=timestamp(&...)
说明
timestamp
的精度是秒。
https://www.example.com/product/cdn?sign=e954e253c33634b510443af72406600f&t=1620291453&query1=value1&query2=value2
如果您在 URL 鉴权的配置中指定签名算法是 MD5,则签名 <SIGNATURE> 的计算公式如下:
md5(<自定义计算规则>)
如果您在 URL 鉴权的配置中指定签名算法是 SHA-256,则签名 <SIGNATURE> 的计算公式如下:
sha256(<自定义计算规则>)
说明
<自定义计算规则> 表示的是参与签名计算的鉴权参数,按指定的出现顺序的拼接。
MD5 值是由 32 个十六进制字符组成的。SHA-256 值由 64 个十六进制字符组成的。
在计算签名时,其他鉴权类型只能使用固定的计算规则,但是 E 类型允许您自定义计算规则。
您可以指定计算规则包含以下参数,并且通过拖拽调整参数的在计算规则中的出现顺序。
参数 | 是否必选 | 描述 |
---|---|---|
密钥 | 是 | 表示在 CDN 控制台配置的密钥。 |
uri | 是 | 表示 请求 URL 格式 中的 uri 参数,以斜杠(/)开头,不包含域名。如果路径包含中文字符,您需要对路径编码。在 请求示例 中,该参数值是 /product/cdn 。 |
时间戳参数 | 是 | 表示 请求 URL 格式 中的 timestamp 参数,格式是十进制的 Unix 时间戳。该参数与控制台中的 有效时间 配置搭配使用,用来计算签名的过期时间。在 请求 URL 示例 中,该参数值是 1620291453 。 |
Referer | 否 | 表示用户请求中 Referer 头部的值。 |
客户端域名 | 否 | 表示请求的加速域名。 |
Origin | 否 | 表示请求中 Origin 头部的值。 |
客户端IP | 否 | 表示客户端的 IP 地址。 |
User-Agent | 否 | 表示请求中 User-Agent 头部的值。 |
自定义变量 | 否 | 表示您在自定义签名计算变量中定义的变量名称。您在 添加参与签名计算的自定义变量 步骤中添加的变量会出现在参数列表中。 |
在收到包含签名的客户端请求时,CDN 使用的鉴权流程如下:
基于请求中包含的鉴权参数以及您在 CDN 控制台中配置的 key,使用 签名计算公式 计算签名。
判断 CDN 计算得到的签名和客户端请求中包含的签名是否一致。如果不一致,CDN 判断请求不合法,拒绝该请求。
判断请求是否过期。如果存在以下情况,CDN 判断请求过期,拒绝该请求。