操作背景 #

您的应用程序可能需要对用户进行更精准的访问控制，例如，仅允许特定权限的登录用户访问资源。这时您可以使用 URL 鉴权将带签名的 URL 发送给客户端，客户端利用带签名的 URL 访问加速域名下的资源。并且，带签名的 URL 具有时效性，过期后该 URL 即会失效。

鉴权流程 #

1. 在智能全球加速的URL鉴权选项中，您需要配置签名算法、鉴权 Key、有效时间。
2. 您的应用的服务器端按照同样的签名算法、鉴权 Key、有效时间来生成资源的带签名URL，发送给经过身份验证的客户端。
3. 客户端用带签名 URL 访问加速域名下的资源。
4. 收到客户端带签名 URL，智能全球加速做以下验证：
   1. 将客户端请求中包含的参数利用同样的签名算法生成签名，检查 URL 中带的签名和计算得出的签名是否一致。
   2. 将客户端请求中包含的时间戳与当前服务器时间做比较，检查 URL 是否过期。
5. 如果验证通过，智能全球加速响应请求。如果不通过，则拒绝请求，返回 403 响应状态码。

前提条件 #

• 如果源站启用了资源的 URL 鉴权功能，您必须关闭源站的 URL 鉴权。智能全球加速在向源站发起回源请求时使用的是未经签名的 URL。
• 分发内容给客户端时，您应用的服务器端应当使用同样的签名算法生成带签名 URL。

操作步骤 #

1. 登录智能全球加速控制台。
2. 在左侧导航栏点击 接入管理，然后在 域名 标签页，点击待配置的加速域名名称。
3. 在域名详情页面，点击 访问控制，再点击 编辑 。
4. 在 访问控制 标签页，设置URL鉴权配置为开启，选择鉴权类型，输入鉴权 KEY 和有效时间。
5. 点击 生成测试URL，输入并确认：鉴权类型、鉴权 KEY 、访问路径、开始日期、有效时间。
   
6. 点击 提交，完成 URL 鉴权的配置。

使用测试URL生成器 #

控制台提供了测试 URL生成器，可以基于您指定的签名算法、鉴权Key、开始时间、有效时间生成一个带签名URL。您可以用该工具生成的URL来：

• 验证智能全球加速的 URL 鉴权配置是否生效
• 当您在您的应用中实施签名算法时，验证签名算法的正确性

根据以下步骤使用测试URL生成器：

1. 在URL鉴权配置界面，点击 生成测试 URL。
2. 在 鉴权KEY 选项中，会预填您配置的鉴权 Key。
3. 在 访问路径 选项中，输入您站点上任意一个资源的 URL 的路径部分（不包括协议和域名部分）。
4. 在 开始日期 选项中，指定一个有效时间的起算时间点。
5. 点击 生成鉴权URL，然后查看生成的带签名 URL。