デフォルトでは、ApsaraVideo VODによって配信されるコンテンツは公開されており、URLを使用してアクセスできます。 リソースをホットリンクや不正アクセスから保護する場合は、リファラーホワイトリストとブラックリスト、IPホワイトリストとブラックリスト、およびURL署名を設定してアクセス制御を調整できます。 URL署名は、オリジンサーバーのアクセス制御を改善するためにURLに署名文字列とタイムスタンプを追加します。 このトピックでは、URL署名の仕組みとURL署名の使用方法について説明します。
URL署名のしくみ
URL署名は、オリジンサーバーと一緒にAlibaba Cloud CDNポイントオブプレゼンス (POP) を使用して、オリジンコンテンツをホットリンクから保護します。 URL署名には、次のオブジェクトが含まれます。
オリジンサーバー: オリジンサーバーは、認証アルゴリズムや暗号キーなどのURL署名ルールに基づいてURLに署名します。 次に、オリジンサーバーは署名されたURLをクライアントに返します。
クライアント: クライアントは要求を開始し、署名されたURLを認証のためにPOPに送信します。
POP: POPは、署名とタイムスタンプを含む、リクエストによって運ばれる認証情報を検証します。
次のセクションでは、URL署名の仕組みについて説明します。
オリジンサーバーで、認証アルゴリズムや暗号化キーなどのURL署名ルールを設定します。
たとえば、http:// DomainName/timestamp/md5hash/FileNameは、オリジンサーバーによって署名されたURLです。
クライアントがURLにアクセスしようとすると、配信元サーバーは署名ルールに基づいてURLに署名し、署名されたURLをクライアントに返します (前の図の手順2と手順3を参照) 。
クライアントは署名付きURLを使用してPOPからリソースを要求します。
POPは、署名文字列およびタイムスタンプを含む、要求によって搬送される認証情報をチェックし、要求が有効であるかどうかを判定します。
要求が認証に失敗した場合、POPは要求を拒否する。
要求が認証をパスする場合、POPは要求に応答する。
説明要求されたリソースがPOPにキャッシュされていない場合、POPはURLから認証パラメーターを削除し、リクエストがオリジンサーバーにリダイレクトされる前にURLを元のバージョンに復元します。 たとえば、URLは
http:// DomainName/FileNameに復元されます。 次に、元のURLを使用してキャッシュキーを生成したり、リクエストをオリジンサーバーにリダイレクトしたりします。リクエストが認証を通過した後、URL内の等号 (
=) やプラス記号 (+) などの特殊文字がエスケープされます。
使用量
URL署名を有効化および設定します。
ApsaraVideo VODコンソールでURL署名を有効化および設定します。 詳細については、「URL署名の有効化と設定」をご参照ください。
署名付きURLを取得します。
URL署名を有効にした後、すべてのリソースがApsaraVideo VODコンソールにある場合、コンソールは有効期限付きの署名付きURLを自動的に生成します。 GetPlayInfo操作を呼び出して、署名付きURLを取得することもできます。
説明URL署名を有効にすると、ビデオ、オーディオ、サムネイル、およびスナップショットファイルのURLが署名されます。
リソースがApsaraVideo VODコンソールにない場合は、さまざまな署名タイプに基づいて動的署名付きURLを連結して生成できます。 詳細については、「Type A signing」、「Type B signing」、および「Type C signing」をご参照ください。