在DCDN分發的內容默認為公開資源,用戶拿到URL后均可訪問,為防止站點資源被惡意下載盜用,除了通過Referer防盜鏈、IP黑白名單等防控方式,您還可以采用URL鑒權,自行配置校驗鑒權URL中的加密串和時間戳,更安全有效地保護源站資源。
鑒權邏輯
URL鑒權功能通過阿里云DCDN節點與客戶資源站點配合,形成了更為安全可靠的源站資源防盜方法。主要由以下幾個部分配合:
源站應用服務器:根據鑒權URL生成規則(包括鑒權算法、密鑰)生成鑒權URL返回給客戶端。
客戶端:發起資源請求,并發送鑒權URL給DCDN節點進行驗證。
DCDN節點:對鑒權URL中的鑒權信息(鑒權字符串、時間戳等)進行驗證。
DCDN客戶在源站應用服務器配置鑒權URL的生成規則(包括鑒權算法和密鑰)。
假設鑒權URL為:
http://DomainName/timestamp/md5hash/FileName
。客戶端訪問源站應用的頁面時,源站應用服務器將會按照鑒權URL的生成規則生成鑒權URL,并且把鑒權URL包含在應用頁面上返回給客戶端(圖中②和③)。
客戶端使用鑒權URL向DCDN節點發起資源請求(圖中④)。
DCDN節點對鑒權URL中的鑒權信息(包括鑒權字符串、時間戳等)進行驗證,判斷請求的合法性。
鑒權失敗,拒絕訪問請求。
鑒權通過,正常響應合法請求。
說明若DCDN節點沒有緩存資源,DCDN節點回源前,會去掉鑒權URL中的鑒權參數,將鑒權URL還原為原始URL(例如:
http://DomainName/FileName
),再使用原始URL生成緩存key或者發起回源請求。您的請求URL經過DCDN鑒權后,URL中的特殊字符,例如
=
、+
等會被轉義。
配置鑒權URL并開啟鑒權
請確保您已經在您的源站應用服務器配置了鑒權URL的生成規則(包括鑒權算法、密鑰)。
DCDN配置的URL鑒權邏輯必須與您的源站應用服務器的URL鑒權邏輯保持一致。
登錄DCDN控制臺。
在左側導航欄,單擊域名管理。
- 在域名管理頁面,單擊目標域名對應的配置。
在指定域名的左側導航欄,單擊訪問控制。
單擊URL鑒權頁簽。
打開鑒權URL設置開關。
在URL鑒權對話框,根據界面提示,配置URL鑒權信息。
參數
說明
鑒權類型
主KEY
輸入鑒權方式對應的主用密碼。由6~128個字符組成,支持大寫字母、小寫字母、數字。
備KEY
輸入鑒權方式對應的備用密碼。由6~128個字符組成,支持大寫字母、小寫字母、數字。主、備KEY至少要填寫一個。
有效時間
DCDN配置的鑒權URL有效時間,用戶可在(timestamp+DCDN上鑒權URL有效時間)時間區間內訪問DCDN,超出該區間,鑒權失效。
單位:秒
取值范圍:1~31536000
默認值:1800(30分鐘)
示例:例如簽算服務器生成鑒權URL的時間(timestamp)為2020-08-15 15:00:00(UTC+8),DCDN上鑒權URL有效時長為1800秒,則鑒權URL失效時間為2020-08-15 15:30:00(UTC+8)。
單擊確定。
驗證鑒權URL正確性
為保證服務器正確實現了鑒權邏輯,配置鑒權URL后,建議您在DCDN控制臺生成對應的鑒權URL,校驗鑒權URL的正確性。
在生成鑒權測試URL區域,配置原始URL和鑒權信息。
參數
說明
原始URL
輸入完整的原始URL地址,例如:
https://www.aliyun.com
。鑒權類型
按照您在配置鑒權URL并開啟鑒權的配置,選擇URL鑒權類型。
鑒權KEY
按照您在配置鑒權URL并開啟鑒權的配置,輸入您配置的主KEY或備KEY。
有效時間
按照您在配置鑒權URL并開啟鑒權的配置,輸入URL鑒權的有效時長,單位為秒。
單擊開始生成,即可獲得鑒權URL和時間戳。
關閉URL鑒權
如果DCDN上的URL鑒權功能已經關閉了,但是客戶端發起的請求URL里面依然攜帶鑒權參數的話,就會導致DCDN無法把客戶端發起的請求URL(帶鑒權參數)還原為原始URL,最終所有請求都無法命中緩存,均會透傳回源站,導致源站的流量大漲,同時也會增加源站的流量費用。因此,如果您需要停止使用URL鑒權,需同時關閉應用服務器和DCDN的URL鑒權功能。
在DCDN控制臺的鑒權URL設置區域,關閉URL鑒權開關。
在您的應用服務器中去掉請求URL的鑒權參數。