访问控制常见问题

配置限制访问DCDN资源的用户时,如果遇到疑问请参考以下常见问题及处理建议。

IP黑白名单配置时有IP地址数量限制,配置IP地址段算1个还是多个IP地址数?

DCDN配置IP黑白名单时,最多可配置约700个IPv6地址,2000个IPv4地址。

1个IP地址段算1个IP地址数配置。

为什么IP黑名单中的IP仍可访问资源?

DCDN作为服务端,无法控制客户端的访问。配置IP黑名单后,该IP地址请求发送到DCDN,会返回错误码403,并且DCDN日志中仍会记录该请求记录。查看日志的方法,请参见下载离线日志

如何获取客户端真实IP地址?

使用DCDN之后,可以通过X-Forwarded-For字段获取客户端真实IP地址,具体操作请参见获取客户端真实IP

需要在源站将DCDN设置为访问白名单,能提供阿里云DCDN访问源站的节点IP吗?

您可以填写信息申请DescribeDcdnL2Ips 接口的调用权限,获取指定域名L2节点的IP地址(即回源IP地址列表)。

URL鉴权异常导致访问DCDN加速资源返回403错误?

为了保护站点的资源不被非法站点下载盗用,采用URL鉴权方式保护源站资源,在开启阿里云DCDN的URL鉴权功能后,访问DCDN加速资源返回403错误,通过浏览器的开发者工具,Response Header中查看详细错误信息如下:

报错信息:X-Tengine-Error:denied by req auth: no url arg auth_key

  • 问题原因:没有携带鉴权参数,DCDN开启了鉴权,但是实际访问URL中没有携带鉴权参数。

  • 解决方案:如果您需要使用DCDN的鉴权功能,请参见配置URL鉴权,配置URL鉴权。如果您不需要DCDN的鉴权功能,登录DCDN控制台,关闭鉴权即可。

报错信息:X-Tengine-Error: denied by req auth: expired timestamp

  • 问题原因:鉴权过期,DCDN开启了鉴权,并且URL携带了鉴权参数,但是鉴权参数过期。

  • 解决方案:如果鉴权过期,请参见配置URL鉴权,重新生成鉴权URL。

报错信息:X-Tengine-Error: denied by req auth: invalid md5hash

  • 问题原因:鉴权计算错误,鉴权参数的MD5值计算不正确。

  • 解决方案:建议先使用DCDN控制台的地址生成器生成URL来对比自己的鉴权代码,或者参见鉴权代码示例image.png