因Referer防盗链等方式无法彻底保护站点资源,建议您配置URL鉴权来保护站点的资源不被非法站点下载盗用。本文主要介绍如何开启或关闭鉴权URL、以及如何验证鉴权URL的正确性。

背景信息

在视频点播分发的内容默认为公开资源,用户拿到URL后均可访问,为防止源站资源被恶意下载盗用,除了通过Referer防盗链、IP黑白名单等防控方式,您还可以采用URL鉴权,自行配置校验鉴权URL中的加密串和时间戳,更安全有效地保护源站资源。

有关URL鉴权的实现原理和鉴权逻辑等更多更详细的信息,请参见《开发指南》的配置URL鉴权

开启鉴权并配置鉴权URL

说明
  • 请确保您已经在您的源站应用服务器配置了鉴权URL的生成规则(包括鉴权算法、密钥)。
  • 视频点播配置的URL鉴权逻辑必须与您的源站应用服务器的URL鉴权逻辑保持一致。
  1. 登录视频点播控制台
  2. 在视频点播控制台左侧导航栏选择配置管理 > 分发加速配置 > 域名管理,进入域名管理页面。
  3. 选择您要配置鉴权URL的域名,单击右侧的配置
  4. 单击访问控制
  5. 选择URL鉴权页签,单击鉴权URL设置区域的修改配置
  6. 开启URL鉴权,配置URL鉴权信息。
    URL鉴权ABC
    配置项和说明如下表所示。
    配项置说明
    鉴权类型
    视频点播分发加速仅提供3种鉴权签名计算方式。您可以根据访问加密URL格式,选择合适的鉴权方式,实现对源站资源的有效保护。URL鉴权类型如下:
    说明 URL鉴权错误会返回403报错:
    • MD5计算类错误

      例如:X-Tengine-Error:denied by req auth: invalid md5hash=de7bfdc915ced05e17380a149bd7****

    • 时间类报错

      例如:X-Tengine-Error:denied by req auth: expired timestamp=143946****

    主KEY输入自定义的鉴权方式对应的主用密码。
    备KEY输入自定义的鉴权方式对应的备用密码。

    备KEY和主KEY拥有同样的效力,备Key主要用于平滑更换。若主KEY执行更换,所有使用主KEY生成的播放地址会立即失效。备KEY作为主KEY更换时,使用主KEY的播放地址不会马上中断,备KEY可以继续替代主KEY提供服务。

    默认有效时长视频点播配置的鉴权URL的有效时长,用户可在(timestamp+视频点播上配置的鉴权URL有效时长)时间区间内访问视频点播,超出该区间,鉴权失效。
    • 默认值:30分钟,单位:分钟。
    • 示例:例如签算服务器生成鉴权URL的时间(timestamp)为2020-08-15 15:00:00(UTC+8),视频点播上配置的鉴权URL有效时长为30分钟,则鉴权URL失效时间为2020-08-15 15:30:00(UTC+8)。
    支持试看试看指用户在观看视频或者音频等内容时,只能观看指定时间(如前五分钟)的内容,通常用于会员等付费业务场景。更多信息,请参见点播试看
  7. 单击确定完成配置。

    开启并配置完成后,URL鉴权在该域名全局生效。

    如果您的资源都在视频点播控制台中,控制台会自动生成带时效的鉴权URL,您也可以通过调用获取音视频播放地址接口获取鉴权URL。
    说明 开启URL鉴权后,视频、音频、封面、截图等地址都会进行鉴权。

验证鉴权URL正确性

为保证服务器正确实现了鉴权逻辑,配置鉴权URL后,建议您在视频点播控制台生成对应的鉴权URL,校验鉴权URL的正确性。

  1. 生成鉴权URL区域,配置原始URL和鉴权信息。
    配置项和说明如下表所示。
    参数说明
    原始URL输入完整的原始URL地址,例如:https://www.aliyundoc.com
    鉴权类型按照您在开启鉴权并配置鉴权URL的配置,选择URL鉴权类型。
    鉴权KEY按照您在开启鉴权并配置鉴权URL的配置,输入您的主KEY备KEY
    有效时间按照您在开启鉴权并配置鉴权URL的配置,输入URL鉴权的有效时长。单位:秒,例如:1800。
  2. 单击开始生成,即可获得鉴权URLTimestamp
    生成

关闭URL鉴权

重要 如果视频点播上的URL鉴权功能已经关闭,但是客户端发起的请求URL里面依然携带鉴权参数的话,就会导致视频点播无法把客户端发起的请求URL(带鉴权参数)还原为原始URL,最终所有请求都无法命中缓存,均会透传回源站,导致源站的流量大涨,同时也会增加源站的流量费用。因此,如果您需要停止使用URL鉴权,需同时关闭源站和视频点播的URL鉴权功能。
  1. 鉴权URL设置区域,单击修改配置
  2. 关闭鉴权URL开关。
  3. 在您的应用服务器中去掉请求URL的鉴权参数。