Remote authentication adalah fitur access control yang melindungi resource Anda. Fitur ini bekerja dengan memverifikasi permintaan pengguna yang dikirim ke edge node Alibaba Cloud Content Delivery Network (CDN). Berdasarkan hasil verifikasi dari server otentikasi Anda, CDN menentukan cara memproses setiap permintaan. Dengan mengaktifkan remote authentication, hanya pengguna yang berwenang yang dapat mengakses resource Anda. Topik ini menjelaskan cara kerja remote authentication, cara mengaktifkannya di konsol, serta menyediakan referensi API terkait.
Cara Kerjanya
ApsaraVideo VOD mendukung Penandatanganan URL dan remote authentication untuk mencegah pengunduhan atau penggunaan resource Anda secara tidak sah. Kedua fitur ini berbeda dalam implementasi teknisnya:
Penandatanganan URL: Anda mengirimkan aturan autentikasi untuk suatu nama domain ke edge node CDN. Edge node tersebut kemudian menangani seluruh proses autentikasi. Untuk informasi lebih lanjut, lihat URL signing.
Remote authentication: Anda harus menyiapkan dan mengelola server otentikasi sendiri. Saat edge node CDN menerima permintaan pengguna yang memerlukan autentikasi, permintaan tersebut diteruskan ke server otentikasi Anda untuk diverifikasi.
Gambar berikut menunjukkan cara kerja remote authentication.
Pengguna mengirim permintaan akses resource ke edge node CDN yang mencakup parameter autentikasi.
Edge node CDN menerima permintaan pengguna dan meneruskannya ke server otentikasi.
Server otentikasi memverifikasi parameter dalam permintaan, menentukan hasilnya, lalu mengirimkan hasil tersebut kembali ke edge node CDN.
Edge node CDN memproses permintaan pengguna berdasarkan hasil autentikasi. Jika autentikasi berhasil, akses diberikan; jika gagal, akses ditolak atau dibatasi. Contohnya:
Contoh 1: Autentikasi berhasil. Edge node CDN menyajikan data cache kepada pengguna.
Contoh 2: Autentikasi gagal. Edge node CDN mengembalikan kode status HTTP 403 kepada pengguna.
Contoh 3: Autentikasi gagal. Edge node CDN melakukan throttle terhadap akses pengguna.
Contoh 4: Autentikasi timeout. Edge node CDN menjalankan aksi default untuk timeout, yaitu mengizinkan permintaan.
Catatan Penggunaan
Setelah Anda mengaktifkan remote authentication, semua permintaan pengguna akan diautentikasi. Jika volume permintaan yang tinggi diprediksi, pertimbangkan beban pemrosesan dan performa server otentikasi Anda.
Prosedur
Masuk ke ApsaraVideo VOD console.
Pada panel navigasi sebelah kiri, pilih Configuration Management.
Klik CDN Configuration > Domain Names untuk membuka halaman Domain Names.
Temukan nama domain yang ingin Anda konfigurasi, lalu klik Configure.
Klik Resource Access Control.
Klik tab Remote Authentication.
Aktifkan Remote Authentication dan konfigurasikan parameter-parameter berikut.
Tabel berikut menjelaskan parameter-parameter tersebut.Parameter
Deskripsi
Alamat Server Otentikasi
Alamat publik server otentikasi Anda. Sistem memvalidasi format dan nilai alamat yang Anda masukkan.
Persyaratan format
Format harus salah satu dari berikut:
http://example.com/auth
https://example.com/auth
http://192.0.2.1/auth
https://192.0.2.1/auth
Persyaratan nilai
Nilai tidak boleh mengandung 127.0.0.1 atau localhost karena alamat lokal tersebut tidak valid.
Metode Permintaan
Metode permintaan yang didukung oleh server otentikasi. Nilai yang valid adalah GET, HEAD, dan POST.
POST
Parameter dikirimkan dalam badan permintaan. Bilah alamat tetap tidak berubah.
Secara teoretis, tidak ada batasan ukuran transmisi data.
Permintaan tidak di-cache atau disimpan dalam riwayat browser.
Keamanan relatif tinggi.
GET
Parameter dikirimkan dalam baris permintaan. Bilah alamat menampilkan nilai parameter yang dikirimkan.
Karena keterbatasan browser, ukuran maksimum transmisi data adalah 1024 byte.
Permintaan dapat di-cache dan disimpan dalam riwayat browser.
Keamanan relatif rendah.
HEAD
Metode HEAD sama seperti metode GET, tetapi server tidak mengembalikan badan respons.
File Type for Authentication
All file types: Semua file diautentikasi.
Specified file types: Hanya tipe file tertentu yang diautentikasi.
Untuk menentukan beberapa tipe file, pisahkan dengan tanda pipa (|). Contoh: mp4|flv.
Tipe file bersifat case-sensitive. Misalnya, jpg dan JPG adalah dua tipe file yang berbeda.
Parameter Retention Settings
Mengontrol parameter mana dari URL permintaan pengguna yang disertakan dalam autentikasi. Anda dapat memilih Retain all parameters, Retain specified parameters, atau Delete all URL parameters.
Untuk menyimpan parameter tertentu, pisahkan beberapa parameter dengan tanda pipa (|). Contoh: user|token.
Parameter bersifat case-sensitive. Misalnya, key dan KEY adalah dua parameter yang berbeda.
Tambahkan Parameter Kustom
Menambahkan parameter kustom ke URL permintaan yang diteruskan edge node CDN ke server otentikasi.
Anda dapat memilih Custom untuk mengatur parameter dan nilainya, atau memilih Select Parameter untuk menggunakan variabel prasetel dari ApsaraVideo VOD console.
Saat mengatur parameter dan nilai kustom, perhatikan hal berikut:
Pisahkan beberapa parameter dengan tanda pipa (|). Contoh: token=$arg_token|vendor=ali_cdn.
Parameter bersifat case-sensitive. Misalnya, key dan KEY adalah dua parameter yang berbeda.
Saat menggunakan variabel prasetel, Anda dapat mengekstrak nilai variabel tersebut dan menambahkannya ke permintaan yang diteruskan CDN ke server otentikasi.
Contohnya, jika Anda memilih variabel $http_host, host=$http_host ditambahkan ke URL permintaan pengguna. Di sini, host merepresentasikan nilai bidang host dalam header permintaan pengguna. Untuk deskripsi nama variabel dan maknanya, lihat Variables.
Request Header Retention Settings
Mengontrol header mana dari permintaan pengguna yang disertakan dalam autentikasi. Anda dapat memilih Retain all headers, Retain specified headers, atau Delete all request headers.
Untuk menyimpan header tertentu, pisahkan beberapa header dengan tanda pipa (|). Contoh: user_agent|referer|cookies.
Parameter tidak case-sensitive. Misalnya, http_remote_addr dan HTTP_Remote_Addr adalah parameter yang sama.
CatatanJika Anda memilih Retain all headers, POP CDN secara default menghapus header HOST. Untuk mempertahankan header HOST, gunakan Retain specified headers atau Add Custom Parameters. Header HOST dihapus secara default karena header HOST yang diteruskan ke server otentikasi berisi nama domain yang dipercepat. Hal ini dapat menyebabkan server otentikasi tidak mengenali permintaan, sehingga menghasilkan error 404 atau kegagalan autentikasi.
Tambahkan Parameter Kustom
Menambahkan parameter kustom ke header permintaan yang diteruskan edge node CDN ke server otentikasi.
Anda dapat memilih Custom untuk mengatur parameter dan nilainya, atau memilih Select Parameter untuk menggunakan variabel prasetel dari ApsaraVideo VOD console.
Saat mengatur parameter dan nilai kustom, perhatikan hal berikut:
Pisahkan beberapa header permintaan dengan tanda pipa (|). Contoh: User-Agent=$http_user_agent|vendor=ali_cdn.
Parameter tidak case-sensitive. Misalnya, http_remote_addr dan HTTP_Remote_Addr adalah parameter yang sama.
Saat menggunakan variabel prasetel, Anda dapat mengekstrak nilai variabel tersebut dan menambahkannya ke permintaan yang diteruskan CDN ke server otentikasi.
Contohnya, jika Anda memilih variabel $http_host, host=$http_host ditambahkan ke URL permintaan pengguna. Di sini, host merepresentasikan nilai bidang host dalam header permintaan pengguna. Untuk deskripsi nama variabel dan maknanya, lihat Variables.
Success Status Code
Kode status HTTP yang dikembalikan server otentikasi saat autentikasi berhasil. Kami menyarankan menyetelnya ke kode status 2xx.
Contohnya, jika Anda menyetelnya ke 200, respons 200 dari server otentikasi berarti berhasil. Jika server mengembalikan kode status yang bukan kode keberhasilan atau kegagalan, permintaan akan timeout.
Status Codes for Authentication Failure
Kode status HTTP yang dikembalikan server otentikasi saat autentikasi gagal. Kami menyarankan menyetelnya ke kode status 4xx.
Contohnya, jika Anda menyetelnya ke 403, respons 403 dari server otentikasi berarti gagal. Jika server mengembalikan kode status yang bukan kode keberhasilan atau kegagalan, permintaan akan timeout.
Custom Response Status Code
Kode status yang dikembalikan edge node CDN kepada pengguna saat autentikasi gagal.
Contohnya, jika Anda menyetelnya ke 403, edge node CDN mengembalikan 403 kepada pengguna saat permintaan gagal diautentikasi.
Timeout Period
Waktu sejak edge node CDN mengirim permintaan autentikasi hingga menerima respons dari server otentikasi.
Unitnya dalam milidetik. Nilai maksimum adalah 3000 milidetik.
Action on Timeout
Aksi yang diambil edge node CDN terhadap permintaan pengguna jika interaksi dengan server otentikasi timeout. Nilai yang valid:
Allow: POP CDN mengizinkan permintaan pengguna.
Deny: POP CDN menolak permintaan dan mengembalikan kode status respons kustom yang telah Anda konfigurasi.
Klik OK untuk menyelesaikan konfigurasi.
Setelah mengonfigurasi remote authentication, Anda dapat mengubah atau menonaktifkannya pada tab Remote Authentication.
Variabel
Saat menambahkan parameter kustom, Anda dapat menggunakan variabel prasetel yang tersedia di ApsaraVideo VOD console. Tabel berikut menjelaskan variabel-variabel tersebut.
Nama variabel | Deskripsi |
$http_host | Nilai bidang host dalam header permintaan. |
$http_user_agent | Nilai bidang user_agent dalam header permintaan. |
$http_referer | Nilai bidang referer dalam header permintaan. |
$http_content_type | Nilai bidang content_type dalam header permintaan. |
$http_x_forward_for | Nilai bidang x_forward_for dalam header permintaan. |
$remote_addr | Alamat IP client dari permintaan. |
$scheme | Tipe protokol dari permintaan. |
$server_protocol | Versi protokol permintaan. |
$uri | URI asli permintaan. |
$args | String kueri dari permintaan, tanpa tanda tanya (?). |
$request_method | Metode permintaan. |
$request_uri | Isi dari uri + '?' + args. |