You need to enable JavaScript to run this app.
导航
内容分发网络
  • 文档首页
    • /内容分发网络/用户指南/域名管理/域名配置管理/访问控制/URL 鉴权/E 类型配置
E 类型配置
最近更新时间:2024.11.19 19:01:16首次发布时间:2023.08.16 16:38:19
我的收藏

本文档介绍火山引擎内容分发网络(CDN)中 URL 鉴权模块的 E 类型配置。

alt

控制台中的配置

在 CDN 控制台中,您需要做以下配置:

配置说明

生效对象

表示一组规则,定义了哪些请求需要被鉴权。您至少需要添加一条规则,最多可以添加 10 条。您可以指定多条规则之间的关系,默认是 表示匹配任何一条规则的请求就会被鉴权。 表示只有匹配所有规则的请求才会被鉴权。每条规则包含条件类型、匹配方式和规则内容。

规则内容的长度不能超过 1,024 个字符,不能包含以下字符:

  • 连续斜杠(//)、空格、美元符号($)、问号(?)、Delete(ASCII code 127)。

同时,

  • 如果条件类型是 文件后缀,规则内容必须是一个或者多个以分号(;)分隔的文件后缀。文件后缀无需以句点(.)开头。例如:png;txt

  • 如果条件类型是 文件目录,规则内容必须是一个或者多个以分号(;)分隔的目录路径。目录路径必须以斜杠(/)开头和结尾。例如:/chs/foods/;/us/birds/

  • 如果条件类型是 文件全路径,规则内容必须是一个或者多个以分号(;)分隔的文件路径。文件路径必须以斜杠(/)开头,可以包含星号(*)用来表示一个或者多个字符。例如:/chs/foods/local*sets;/us/birds/chickadee

主 KEY指定一个主密钥。密钥由 6-40 个字符组成,只能包含除了 Delete(ASCII code 127)的可打印 ASCII 字符。
备 KEY指定一个备密钥。密钥的输入要求与主 Key 相同。如果鉴权失败,CDN 会使用备密钥再计算一次签名并尝试与请求中的签名比对。

签名参数

指定请求的签名参数名称。参数名称的说明如下:

  • 不能超过 100 个字符。

  • 大小写敏感。

  • 可以包含字母、数字、下划线(_)、中划线(-)、句号(.)、逗号(,)、感叹号(!)。

  • 至少包含一个字母或者数字。

  • 不能与时间戳参数相同。

  • 控制台中默认的签名参数是 sign

有效时间指定签名的有效时间,单位是秒。该配置与自定义计算规则中的 时间戳 参数搭配使用,用来计算签名的过期时间。该参数的取值范围是 0-315,360,000。签名的过期时间 = timestamp + 有效时间。在 CDN 收到某个请求时,如果请求中包含的签名的过期时间早于当前时间,CDN 判定签名已过期。此时,CDN 返回 403 响应状态码,表示鉴权失败。控制台中默认的有效时间是 1800

时间戳参数

指定请求的时间戳参数的名称。参数名称的说明如下:

  • 不能超过 100 个字符。

  • 大小写敏感。

  • 可以包含字母、数字、下划线(_)、中划线(-)、句号(.)、逗号(,)、感叹号(!)。

  • 不能与签名参数相同。

  • 控制台中默认的签名参数是 t

时间格式指定 Unix 时间戳的格式。

鉴权算法

表示签名计算使用的算法。该配置有以下取值:

  • MD5:表示 MD5 算法。

  • SHA256:表示 SHA-256 算法。

说明

SHA-256 算法的安全性比 MD5 高,生成的哈希值出现碰撞的几率比 MD5 低,但是加密和解密过程的耗时比 MD5 长。

计算规则指定参与签名计算的鉴权参数以及这些参数的顺序。
鉴权计算器参见 鉴权计算器说明

添加参与签名计算的自定义变量

对于 E 类型,您可以添加自定义的变量用于签名计算。您最多可以添加 50 个变量。您可以点击 新增规则 添加一个变量获取的规则。规则的各配置说明如下:

配置说明

变量类型

指定变量的类型。该配置有以下取值:

  • 请求参数:表示该变量是请求 URL 中的一个查询参数。

  • 请求头部:表示该变量是请求中的一个头部。

取值方式表示 CDN 如何将 参数取值 与 请求中的参数匹配。该配置的取值只能是 精确匹配

参数取值

表示需要额外参与签名计算的变量名称。变量名称不能超过 100 个字符。其他要求如下:

  • 如果 变量类型请求参数,变量名称可以包含字母、数字、连字符(-)、逗号(,)、句号(.)、感叹号(!)。

  • 如果 变量类型请求头部,变量名称可以包含可打印 ASCII 字符,除了以下这些字符:

    • 下划线(_)、空格、双引号(")、冒号(:)、Delete(ASCII code 127)。
操作表示您可以对该规则进行的操作。

在您添加自定义变量后,您就可以在设置 计算规则 时选择该变量了。

alt

请求 URL 格式

scheme://host/uri?sign=\<signature\>&t=timestamp(&...)

说明

timestamp 的精度是秒。

请求 URL 示例

https://www.example.com/product/cdn?sign=e954e253c33634b510443af72406600f&t=1620291453&query1=value1&query2=value2

签名计算公式

如果您在 URL 鉴权的配置中指定签名算法是 MD5,则签名 <SIGNATURE> 的计算公式如下:

md5(<自定义计算规则>)

如果您在 URL 鉴权的配置中指定签名算法是 SHA-256,则签名 <SIGNATURE> 的计算公式如下:

sha256(<自定义计算规则>)

说明

  • <自定义计算规则> 表示一个自定义的签名计算规则。在该规则中,您指定用于签名计算的鉴权参数以及这些参数的顺序。在计算签名时,CDN 先将这些参数的值拼接成一个字符串,然后计算该字符串的 MD5 值。该 MD5 值就是签名。

  • MD5 值是由 32 个十六进制字符组成的。SHA-256 值由 64 个十六进制字符组成的。

在计算签名时,其他鉴权类型只能使用固定的计算规则,但是 E 类型允许您自定义计算规则。

您可以指定计算规则包含以下参数,并且通过拖拽调整参数的在计算规则中的出现顺序。

参数是否必选描述
密钥表示在 CDN 控制台配置的密钥。
uri表示 请求 URL 格式 中的 uri 参数,以斜杠(/)开头,不包含域名。如果路径包含中文字符,您需要对路径编码。在 请求示例 中,该参数值是 /product/cdn
时间戳参数表示 请求 URL 格式 中的 timestamp 参数。该参数与控制台中的 有效时间 配置搭配使用,用来计算签名的过期时间。根据控制台中的 时间格式 配置,时间格式使用十进制或十六进制的 Unix 时间戳。在 请求 URL 示例 中,该参数值是 1620291453,是一个十进制 Unix 时间戳。
Referer表示用户请求中 Referer 头部的值。
客户端域名表示请求的加速域名。
Origin表示请求中 Origin 头部的值。
客户端IP表示客户端的 IP 地址。
User-Agent表示请求中 User-Agent 头部的值。
自定义变量表示您在自定义签名计算变量中定义的变量名称。您在 添加参与签名计算的自定义变量 步骤中添加的变量会出现在参数列表中。

鉴权流程

在收到包含签名的客户端请求时,CDN 使用的鉴权流程如下:

  1. 基于请求中包含的鉴权参数以及您在 CDN 控制台中配置的 key,使用 签名计算公式 计算签名。

  2. 判断 CDN 计算得到的签名和客户端请求中包含的签名是否一致。如果不一致,CDN 判断请求不合法,拒绝该请求。

  3. 判断请求是否过期。如果存在以下情况,CDN 判断请求过期,拒绝该请求。

    • (客户端请求中的 timestamp 参数) + (您在 CDN 控制台中配置的有效时间) < (CDN 收到该请求的时间)