URL鑒權功能主要用于保護用戶站點資源不被非法站點下載盜用。阿里云CDN為您提供了四種鑒權方式,本文為您詳細介紹鑒權方式B的原理和示例說明。
原理說明
鑒權方式B加密URL構成
http://DomainName/{<timestamp>/<md5hash>}/FileName說明{}中的內容表示在標準URL基礎上添加的加密信息。鑒權字段說明
字段
描述
DomainName
CDN站點的域名。
timestamp
簽算服務器生成鑒權URL的時間,與鑒權URL有效時長共同控制鑒權URL的失效時間。時間點取自簽算服務器的“UTC+8”時間,格式為:YYYYMMDDHHMM。
說明多數情況下,鑒權URL的有效時長為CDN配置的鑒權URL有效時長。有時在簽算增加鑒權URL的有效時長的,此時,timestamp=簽算服務器上的Unix時間戳+簽算服務器上加的有效時長;鑒權URL實際有效時長=timestamp+CDN配置的鑒權URL有效時長。
md5hash
通過md5算法計算出的驗證串,由數字0~9和小寫英文字母a~z混合組成,固定長度32。
md5hash的值通過以下字符串計算得到。sstring = "Privatekey+timestamp+URI" (URI是用戶的請求對象相對地址,不包含參數,如/Filename) md5hash = md5sum(sstring)Filename
實際回源訪問的URL,鑒權時Filename需以
/開頭。鑒權邏輯說明
CDN服務器接到資源訪問請求后,判斷最終生成鑒權URL請求中的
timestamp+鑒權URL有效時長是否小于當前時間。如果
timestamp+鑒權URL有效時長小于當前時間,服務器判定過期失效,并返回HTTP 403錯誤。如果
timestamp+鑒權URL有效時長大于當前時間,則以string方式構造出一個字符串,然后使用MD5算法算出md5hash的值,再將計算出的md5hash值與用戶訪問請求中攜帶的md5hash的值進行比對。結果一致,鑒權通過,返回資源請求。
說明當鑒權通過時,會去掉URL中與鑒權相關的那部分參數,可以提高緩存命中率,減少回源流量:
實際生成緩存key的URL格式:
http://DomainName/FileName實際回源的URL格式:
http://DomainName/FileName
結果不一致,鑒權失敗,返回HTTP 403錯誤。
鑒權URL示例
通過以下示例說明,您可以準確理解鑒權方式B的實現方式。
示例條件
回源請求對象。
http://domain.example.com/4/44/44c0909bcfc20a01afaf256ca99a8b8b.mp3說明如果您的回源請求對象中有中文漢字,請先對其進行URL轉碼(即Encode),再進行鑒權URL的拼接。
原始URL:
https://example.com/image/阿里云.jpg編碼后的URL:
https://example.com/image/%E9%98%BF%E9%87%8C%E4%BA%91.jpg
設置密鑰為:aliyuncdnexp1234。
簽算服務器生成鑒權URL的時間: 201508150800。
拼接流程
CDN服務器構造一個用于計算
md5hash的簽名字符串。aliyuncdnexp1234201508150800/4/44/44c0909bcfc20a01afaf256ca99a8b8b.mp3根據該簽名字符串,CDN服務器會計算出
md5hash。md5hash = md5sum("aliyuncdnexp1234201508150800/4/44/44c0909bcfc20a01afaf256ca99a8b8b.mp3") = 9044548ef1527deadafa49a890a377f0生成鑒權URL。
http://domain.example.com/201508150800/9044548ef1527deadafa49a890a377f0/4/44/44c0909bcfc20a01afaf256ca99a8b8b.mp3
當使用客戶端提供的加密URL進行訪問時,如果CDN服務器計算出來的md5hash值與訪問請求中帶的md5hash值相同,都為9044548ef1527deadafa49a890a377f0,并且鑒權URL在有效期內,則鑒權通過;反之鑒權失敗。