URL鉴权

背景

一般情况下，可以通过配置访问Referer黑名单和白名单来实现对访客身份的识别和过滤，保护站点资源。但由于Referer内容可以伪造，采用URL鉴权方式更为安全有效。

原理

URL鉴权功能通过阿里云CDN加速节点与客户资源站点配合，形成了更为安全可靠的源站资源防盗方法。

1. 由CDN客户站点提供给用户加密 URL（包含权限验证信息）。
2. 用户使用加密后的 URL 向加速节点发起请求。
3. 加速节点对加密 URL 中的权限信息进行验证以判断请求的合法性，对合法请求给予正常响应，并拒绝非法请求，从而有效保护CDN客户站点资源。

配置方法

您可以在控制台的域名管理页面配置URL鉴权，具体操作，请参见URL鉴权。

• 开启URL鉴权后，阿里云VOD的播放器SDK，以及获取播放地址的API/SDK都会自动生成带时效的播放URL。如您需要生成鉴权的动态URL，请使用下述鉴权方法。
  说明 开启URL鉴权后，视频、音频、封面、截图等地址都会进行鉴权
• 主Key和备Key拥有同样的效力，备Key主要用于平滑更换。若主KEY执行更换，所有使用主KEY生成的播放地址会立即失效。备KEY作为主KEY更换时，使用主KEY的播放地址不会马上中断，备KEY可以继续替代主KEY提供服务。
• 设置目标域名下URL地址的全局默认有效时长后，可对单个URL定制有效时长。
  说明 此时CDN会在timestamp后追加设置的默认有效时长

鉴权方法

• 鉴权URL构成

  鉴权URL由播放文件地址+验证串构成。示例如下：

  http://DomainName/Filename?auth_key=timestamp-rand-uid-md5hash

  验证串是根据鉴权key+过期时间通过md5算法计算得出，且具有时效性。timestamp、rand、uid、md5hash的字段描述参见下文。

• 鉴权字段描述

  字段	描述
  timestamp	URL失效时间。为Unix时间戳，1970年1月1日以来的秒数。URL地址会在指定的timestamp之后的默认有效时长后失效。 在超过timestamp字段指定的时间之后的默认有效时长后，URL鉴权失效，此时CDN返回HTTP 403。 示例：指定timestamp为1597474800（即2020-08-15 15:00:00），同时在控制台设置的默认有效时长为30分钟，则链接真正失效时间是2020-08-15 15:30:00。
  rand	随机数。一般为0，如要确保每次生成的URL不同则可使用UUID等做随机数。
  uid	附加参数。一般为0。
  md5hash	通过md5算法计算出的验证串。数字和小写英文字母混合0-9、a-z，固定长度32。 URI：请求文件的相对地址，不包含参数，如 /Filename。 PrivateKey：控制台配置的主Key或备Key，二者皆可。 md5sum：表示计算MD5值，请使用开发语言对应的函数。 示例： sstring = "URI-timestamp-rand-uid-PrivateKey" md5hash = md5sum(sstring)

• 示例说明

  假设情况：

  1. 请求文件地址。示例如下：

     http://192.168.0.0/16/video/standard/1K.html

  2. 鉴权Key设置为：aliyuncdnexp1234（控制台设置的主Key或备Key）。
  3. 鉴权URL指定失效时间为：2015年10月10日00:00:00。
  4. rand和uid字段都设置为0。

  则：

  1. 计算出来的鉴权URL指定失效时间的Unix时间戳为1444435200

  2. 用于计算md5hash签名的字符串。示例如下：

     /video/standard/1K.html-1444435200-0-0-aliyuncdnexp1234"

  3. 计算md5hash值。示例如下：

     md5hash = md5sum("/video/standard/1K.html-1444435200-0-0-aliyuncdnexp1234") = 80cd3862d699b7118eed99103f2a3a4f

  4. 请求时URL。示例如下：

     http://cdn.example.com/video/standard/1K.html?auth_key=1444435200-0-0-80cd3862d699b7118eed99103f2a3a4f

     说明 auth_key 即为鉴权URL所带的鉴权信息。