全部产品
Search

搜索本产品

    ApsaraVideo Live:Kontrol Akses

    文档中心

    ApsaraVideo Live:Kontrol Akses

    更新时间:Jul 06, 2025

    Untuk melindungi sumber daya ApsaraVideo Live dari penggunaan yang tidak sah, disarankan menggunakan penandatanganan URL, daftar hitam atau daftar putih alamat IP, serta otentikasi jarak jauh untuk kontrol akses. Metode-metode ini secara efektif meningkatkan keamanan dan pengalaman pengguna ApsaraVideo Live.

    Ikhtisar

    Kontrol akses untuk domain ingest merupakan langkah penting untuk memastikan keamanan sumber daya dan mencegah penggunaan yang tidak sah. Metode yang digunakan meliputi:

    • Penandatanganan URL: Penandatanganan URL secara efektif mencegah masalah yang tidak dapat sepenuhnya diatasi oleh perlindungan hotlink, memastikan validitas setiap permintaan.

    • Daftar Hitam atau Daftar Putih Alamat IP: Fitur ini membatasi atau mengizinkan akses dari alamat IP tertentu serta mengidentifikasi dan menyaring identitas pengunjung.

    • Otentikasi jarak jauh: Otentikasi jarak jauh mengirimkan permintaan pengguna ke server otentikasi yang telah ditentukan untuk diverifikasi, sehingga meningkatkan fleksibilitas dan keamanan kontrol akses.

    Penandatanganan URL

    Pengenalan Fungsi

    Penandatanganan URL memberikan metode yang aman dan andal untuk melindungi sumber daya streaming langsung melalui kerja sama antara layanan ApsaraVideo Live dan layanan bisnis pelanggan.

    1. Server bisnis pelanggan menyediakan URL terenkripsi yang berisi informasi otentikasi.

    2. Pengguna mengirim permintaan ke layanan ApsaraVideo Live menggunakan URL terenkripsi tersebut.

    3. Node tepi layanan ApsaraVideo Live memverifikasi informasi otentikasi dalam URL, merespons permintaan yang sah, dan menolak permintaan yang tidak sah.

    Penting

    Setelah URL permintaan diautentikasi oleh layanan ApsaraVideo Live, karakter khusus dalam URL (seperti =, +, dll.) akan diubah menjadi bentuk escape.

    Untuk informasi lebih lanjut tentang skenario penandatanganan URL, komposisi URL yang ditandatangani, prinsip-prinsip, dll., lihat Otentikasi URL Ingest/Streaming.

    Prosedur

    1. Masuk ke Konsol ApsaraVideo Live.

    2. Di panel navigasi sebelah kiri, klik Domain Names. Halaman Domain Management muncul.

    3. Temukan domain ingest yang ingin dikonfigurasikan dan klik Domain Settings di kolom Tindakan.

      域名配置

    4. Pilih Streaming Management > Access Control.

    5. Klik tab URL Signing, dan klik Change Settings.

      002

      Catatan

      • Secara default, penandatanganan URL diaktifkan untuk nama domain yang Anda tambahkan. Jika Anda menonaktifkan penandatanganan URL untuk pertama kali, pastikan Anda memahami risiko terkait penggunaan layanan Anda yang tidak sah dan menyetujui Pernyataan Penolakan untuk Menonaktifkan Penandatanganan URL.

      • Jika penandatanganan URL sudah diaktifkan, klik Modify Configuration untuk mengonfigurasikan informasi penandatanganan URL. Jika Anda sebelumnya menonaktifkan penandatanganan URL, aktifkan sakelar URL Signing untuk mengonfigurasikan informasi penandatanganan URL.

    6. Konfigurasikan informasi penandatanganan URL, dan klik OK.

      URL鉴权

      Tabel berikut menjelaskan parameter-parameter tersebut.

      Parameter

      Deskripsi

      Authentication Type

      Domain ingest ApsaraVideo Live hanya mendukung Jenis Otentikasi A untuk melindungi sumber daya di server asal.

      Catatan

      Jika otentikasi URL gagal, kode status HTTP 403 dikembalikan. Dalam hal ini, Anda harus menghitung ulang tanda tangan.

      • Nilai MD5 tidak valid

        Contoh: X-Tengine-Error:denied by req auth: invalid md5hash=de7bfdc915ced05e17380a149bd760be

      • Timestamp tidak valid

        Contoh: X-Tengine-Error:denied by req auth: expired timestamp=1439469547

      Primary Key

      Setelah Anda menambahkan nama domain, ApsaraVideo Live menghasilkan kunci utama acak untuk nama domain tersebut. Anda dapat melihat kunci utama di halaman Penandatanganan URL dengan memilih Domain Names dari bilah navigasi sebelah kiri, memilih nama domain yang ingin Anda konfigurasikan, dan mengklik Domain Configuration > Access Control > URL Signing. Anda juga dapat mengubah kunci utama untuk jenis otentikasi yang dipilih.

      Secondary Key

      Tentukan kunci sekunder untuk metode otentikasi yang dipilih.

      Catatan

      • Kunci utama dan kunci sekunder memiliki efek yang sama. Kunci sekunder terutama digunakan untuk pergantian yang lancar.

      • Jika kunci utama diganti, URL yang ditandatangani yang dihasilkan dengan kunci utama akan menjadi tidak valid. Jika Anda menulis kunci utama lama ke kunci sekunder selama pergantian, kunci sekunder dapat terus memberikan layanan sebagai pengganti kunci utama.

      Validity Period

      URL yang ditandatangani hanya dapat digunakan untuk memulai permintaan ingest atau streaming dalam periode validitas. Koneksi persisten dibuat untuk ingest dan streaming langsung. Permintaan ingest dan streaming langsung yang dimulai dalam periode validitas tidak akan dijatuhkan setelah periode validitas berakhir. Permintaan ingest dan streaming langsung baru gagal dimulai setelah periode validitas berakhir.

      Periode validitas default untuk URL yang ditandatangani di bawah nama domain yang Anda tambahkan adalah 1 hari atau 1.440 menit. Anda dapat menentukan periode validitas kustom untuk URL yang ditandatangani.

    Daftar hitam atau daftar putih alamat IP

    Pengenalan Fungsi

    • Jika Anda mengonfigurasi daftar hitam alamat IP, alamat IP dalam daftar hitam tidak diizinkan untuk mengakses nama domain yang dipercepat.

    • Jika Anda mengonfigurasi daftar putih, hanya alamat IP dalam daftar putih yang dapat mengakses nama domain yang dipercepat.

    Catatan

    • Daftar hitam dan daftar putih alamat IP mendukung alamat IPv6. Huruf dalam alamat IPv6 harus huruf besar. Contoh: 2001:DB8:0:23:8:800:200C:417A dan 2001:0DB8:0000:0023:0008:0800:200C:417A. Anda tidak dapat mempersingkat alamat IPv6 dengan menggunakan notasi dua-dua (::). Misalnya, 2001:0DB8::0008:0800:200C:417A tidak valid.

    • Daftar hitam dan daftar putih alamat IP mendukung blok CIDR. Misalnya, dalam blok CIDR 192.168.0.0/24, /24 menunjukkan bahwa 24 bit pertama dalam subnet mask adalah bit jaringan. Sisa 8 bit adalah bit host. Jumlah bit host dihitung berdasarkan rumus berikut: 32 - 24 = 8. Subnet dapat menampung hingga 254 host. Jumlah host dihitung berdasarkan rumus berikut: 2^8 - 2 = 254. Oleh karena itu, 192.168.0.0/24 menunjukkan alamat IP dari 192.168.0.1 hingga 192.168.0.254.

    Prosedur

    1. Masuk ke Konsol ApsaraVideo Live.

    2. Di panel navigasi sebelah kiri, klik Domain Names. Halaman Domain Management muncul.

    3. Temukan domain ingest yang ingin dikonfigurasikan dan klik Domain Settings di kolom Tindakan.

      域名配置

      4. Pilih Streaming Management > Access Control.

    4. Klik tab IP Blacklist or Whitelist, dan aktifkan IP Blacklist or Whitelist.

      01

    5. Konfigurasikan List Type dan Rule, dan klik OK.

      配置黑白名单-chs

      Tipe

      Deskripsi

      Blacklist

      Permintaan dari nama domain yang termasuk dalam daftar hitam tidak dapat mengakses sumber daya Anda.

      Whitelist

      Hanya permintaan dari nama domain yang termasuk dalam daftar putih yang dapat mengakses sumber daya Anda.

    Otentikasi Jarak Jauh

    Pengenalan Fungsi

    Baik otentikasi jarak jauh maupun penandatanganan URL digunakan untuk melindungi sumber daya streaming langsung, memungkinkan sumber daya hanya dapat diakses oleh pengguna yang berhasil diautentikasi. Kedua metode ini memiliki perbedaan implementasi teknis berikut:

    • Penandatanganan URL: Pengguna mendistribusikan aturan otentikasi nama domain ke pusat live, dan pusat live menyelesaikan seluruh proses interaksi data otentikasi.

    • Otentikasi jarak jauh: Pengguna memiliki server otentikasi yang dikonfigurasi secara terpisah. Setelah pusat live menerima permintaan pengguna, ia perlu meneruskan permintaan pengguna ke server otentikasi untuk menyelesaikan otentikasi. Server otentikasi dibangun dan dikelola oleh pengguna. Otentikasi jarak jauh tidak mendukung HTTP Live Streaming.

    Alur interaksi data untuk fungsi otentikasi jarak jauh adalah sebagai berikut:

    Urutan

    Deskripsi Interaksi

    Pengguna memulai permintaan akses sumber daya ke pusat live, membawa parameter otentikasi dalam permintaan.

    Pusat live menerima permintaan pengguna dan meneruskannya secara langsung (atau meneruskannya setelah diproses sesuai aturan yang ditentukan) ke server otentikasi.

    Server otentikasi memberikan hasil otentikasi berdasarkan parameter otentikasi yang dibawa dalam permintaan pengguna dan mengembalikannya ke pusat live.

    Pusat live melakukan tindakan yang sesuai berdasarkan hasil otentikasi yang dikembalikan oleh server otentikasi dan mengembalikan data yang sesuai kepada pengguna.

    • Contoh 1: Jika otentikasi berhasil, pusat live mulai interaksi akses data cache normal dengan pengguna.

    • Contoh 2: Jika otentikasi gagal, pusat live mengembalikan kode status HTTP 403 kepada pengguna.

    • Contoh 3: Jika otentikasi habis waktu, pusat live melakukan tindakan default untuk waktu habis otentikasi, yaitu mengizinkan atau menolak permintaan pengguna.

    Prosedur

    1. Masuk ke Konsol ApsaraVideo Live.

    2. Di panel navigasi sebelah kiri, klik Domain Names. Halaman Domain Management muncul.

    3. Pilih domain ingest yang ingin dikonfigurasikan, dan klik Domain Settings.

    4. Pilih Streaming Management > Access Control.

    5. Klik tab Remote Authentication, aktifkan sakelar Remote Authentication, dan konfigurasikan parameter otentikasi jarak jauh sesuai dengan petunjuk antarmuka.

      Catatan

      Setelah Anda mengaktifkan otentikasi jarak jauh, semua permintaan pengguna dialihkan ke server otentikasi. Jika banyak permintaan dikirim ke CDN POP, pastikan server otentikasi dapat menangani lonjakan lalu lintas tanpa mengorbankan performa.

      Parameter

      Deskripsi

      Authentication Server Address

      Alamat server otentikasi. Alamat ini harus dapat diakses secara publik. Sistem memeriksa apakah format dan nilai alamat yang Anda masukkan valid. Anda dapat menentukan URL tetap atau URL gabungan variabel.

      • URL Tetap: Protokol HTTP dan HTTPS didukung. Nilainya tidak boleh berisi 127.0.0.1 dan localhost, yang merupakan alamat lokal yang tidak valid. Format sampel:

        • http(s)://example.aliyundoc.com/auth

        • http(s)://192.0.2.1/auth

      • URL Gabungan Variabel: Anda dapat membuat URL yang ditandatangani dengan menggabungkan variabel dan kemudian menggunakan URL tersebut sebagai alamat server otentikasi. Untuk informasi lebih lanjut tentang aturan untuk URL gabungan variabel, lihat URL Gabungan Variabel.

      Pass-through Request URL Parameters

      Parameter URL yang ingin Anda periksa oleh server otentikasi. Anda dapat memilih Pass Through Specified Parameters, Do Not Pass Through Specified Parameters, atau Do Not Pass Through Request URL Parameters.

      Catatan

      Jika Anda memilih Pass Through Specified Parameters atau Do Not Pass Through Specified Parameters, masukkan parameter yang ditentukan untuk diteruskan di kotak input di bawah ini. Pisahkan beberapa parameter dengan koma (,), misalnya: key1,key2,key3.

      HTTP Status Code For Authentication Result

      Kode status HTTP yang dikembalikan oleh server otentikasi ke pusat live. Anda dapat memilih salah satu dari opsi berikut:

      • HTTP Status Code For Successful Authentication: Setelah Anda memilih opsi ini, masukkan kode status HTTP kustom untuk otentikasi berhasil di kotak input di bawah ini. Pusat live hanya mengizinkan permintaan pengguna ketika server otentikasi mengembalikan kode status ini. Permintaan pengguna diblokir ketika kode status lain dikembalikan.

        Sebagai contoh, jika Anda menetapkan kode status HTTP menjadi 200, server otentikasi mengembalikan kode status HTTP 200 ke pusat live untuk permintaan yang lolos otentikasi.

      • HTTP Status Code For Failed Authentication: Setelah Anda memilih opsi ini, masukkan kode status HTTP kustom untuk otentikasi gagal di kotak input di bawah ini. Pusat live hanya memblokir permintaan pengguna ketika server otentikasi mengembalikan kode status ini. Permintaan pengguna diizinkan ketika kode status lain dikembalikan.

        Sebagai contoh, jika Anda menetapkan kode status HTTP menjadi 403, server otentikasi mengembalikan kode status HTTP 403 ke pusat live untuk permintaan yang gagal otentikasi.

      Authentication Duration (Seconds)

      Periode waktu yang dimulai ketika pusat live memulai otentikasi dan berakhir ketika pusat live menerima hasil otentikasi dari server otentikasi.

      Nilai valid: bilangan bulat dari 0 hingga 30.

      Number Of Authentication Timeout Retries

      Jumlah percobaan ulang yang dilakukan oleh server otentikasi jika durasi otentikasi yang ditentukan terlampaui. Setelah jumlah percobaan ulang mencapai nilai yang ditentukan, tindakan yang ditentukan dalam bidang Tindakan Waktu Habis Otentikasi dilakukan. Anda dapat memilih Allow atau Reject.

      Authentication Timeout Action

      Tindakan yang ingin Anda lakukan pada permintaan ketika interaksi data antara pusat live dan server otentikasi habis waktu. Anda dapat memilih Allow atau Reject. Perbedaannya adalah sebagai berikut:

      • Allow: Jika waktu otentikasi berakhir, pusat siaran langsung akan langsung mengizinkan permintaan pengguna.

      • Reject: Jika otentikasi habis waktu, pusat live menolak permintaan pengguna dan mengembalikan kode status HTTP untuk otentikasi gagal (seperti kode status HTTP 403) kepada pengguna.

      Asynchronous Authentication (Advanced Configuration)

      Jika Anda mengaktifkan otentikasi asinkron, aliran dapat diputar tanpa perlu menunggu hasil otentikasi. Jika hasil yang dikembalikan pada titik waktu tertentu menunjukkan otentikasi gagal, pemutaran akan terputus. Ini membantu mencegah masalah peningkatan durasi frame pertama yang disebabkan oleh sinkronisasi hasil otentikasi.

    6. Klik OK untuk menyelesaikan konfigurasi parameter.

      Setelah Anda berhasil mengonfigurasi fungsi otentikasi jarak jauh, Anda dapat memodifikasi konfigurasi saat ini atau menonaktifkan fungsi otentikasi jarak jauh di tab Remote Authentication.

    URL Gabungan Variabel

    Anda dapat membuat URL yang ditandatangani dengan menggabungkan variabel dan kemudian menggunakan URL tersebut sebagai alamat server otentikasi. Tabel berikut menjelaskan variabel-variabel tersebut.

    Tipe

    Deskripsi

    Variabel numerik

    Variabel numerik seperti ${1} dan ${2} digunakan untuk merujuk bagian sebelum ? dalam URL ingest atau streaming.

    Sebagai contoh, jika URL ingest adalah rtmp://domain.aliyundoc.com/appname/streamname?token=1&name=xr, maka ${1}=appname dan ${2}=streamname.

    Variabel alfabet

    Variabel alfabet seperti ${arg_token} dan ${arg_name} digunakan untuk merujuk bagian setelah ? dalam URL ingest atau streaming.

    Sebagai contoh, jika URL ingest adalah rtmp://domain.aliyundoc.com/appname/streamname?token=1&name=xrc, maka ${arg_token}=1 dan ${arg_name}=xrc.

    Variabel kustom

    Variabel kustom dimulai dengan awalan udv_. Saat ini, variabel kustom mendukung ${udv_host} dan ${udv_ip}, yang digunakan untuk merujuk host dan alamat IP klien ingest.

    Variabel NGX

    Semua variabel ngx.var.* dapat dirujuk secara langsung. Sebagai contoh, ${args} dapat merujuk ngx.var.args.

    Semua nilai yang dirujuk melalui variabel diproses oleh fungsi escape URL ngx.escape_uri saat menggabungkan alamat otentikasi untuk menghindari ambiguitas yang disebabkan oleh karakter khusus.

    Variabel nama aliran

    Anda dapat menambahkan variabel dalam format videoname=${stream_name}. ${stream_name} akan diganti dengan nama aliran dalam permintaan pemutaran.

    Catatan

    Jika URL ingest atau streaming adalah rtmp://domain.aliyundoc.com/app/stream?token=***&name=xrc.

    Dan alamat server otentikasi jarak jauh dikonfigurasikan sebagai http://auth.aliyundoc.com/?app=${udv_host}&streamname=${2}&appname=${1}&token=${arg_token}.

    Maka alamat otentikasi aktual akan menjadi http://auth.aliyundoc.com/?app=domain.aliyundoc.com&streamname=stream&appname=app&token=***.