Secara default, konten yang didistribusikan oleh ApsaraVideo VOD dapat diakses secara publik melalui URL. Untuk melindungi sumber daya Anda dari hotlinking dan akses tidak sah, Anda dapat mengonfigurasi daftar putih referer, blacklist referer, daftar putih IP, blacklist IP, serta penandatanganan URL untuk mengatur kontrol akses. Penandatanganan URL menambahkan string tanda tangan dan timestamp ke URL guna meningkatkan kontrol akses pada server asal.
Logika Autentikasi
Penandatanganan URL menggunakan Alibaba Cloud CDN points of presence (POPs) bersama dengan server asal untuk melindungi konten asal dari hotlinking. Proses ini melibatkan komponen-komponen berikut:
Server aplikasi bisnis: Server ini menandatangani URL berdasarkan aturan penandatanganan URL, termasuk algoritma autentikasi dan kunci kriptografi.
Aplikasi Klien/Web Pengguna: Klien memulai permintaan dan mengirimkan URL yang ditandatangani ke POPs untuk autentikasi.
Node CDN: Node ini memverifikasi informasi autentikasi dalam permintaan, termasuk tanda tangan dan timestamp.
Berikut adalah langkah-langkah kerja penandatanganan URL:
Pelanggan mengonfigurasi aturan penandatanganan URL pada server aplikasi bisnis.
Klien mengakses server aplikasi bisnis untuk mendapatkan URL yang ditandatangani.
Server aplikasi bisnis mengembalikan URL yang ditandatangani sesuai dengan kebutuhan klien.
Klien menggunakan URL yang ditandatangani untuk meminta sumber daya dari sebuah POP.
POP memeriksa informasi autentikasi dalam URL yang ditandatangani dan menentukan validitas permintaan tersebut.
Jika permintaan gagal autentikasi, POP menolak permintaan tersebut.
Jika permintaan lolos autentikasi, POP merespons permintaan tersebut.
Jika permintaan lolos autentikasi, sumber daya dikembalikan sesuai dengan logika caching node CDN.
CatatanJika sumber daya yang diminta tidak tersedia dalam cache pada POPs, parameter autentikasi dihapus dari URL, dan URL dikembalikan ke versi aslinya sebelum permintaan dialihkan ke server asal. Contohnya, URL dikembalikan ke
http://NamaDomain/NamaFile. Kemudian, URL asli digunakan untuk menghasilkan kunci cache atau mengarahkan ulang permintaan ke server asal.Setelah permintaan lolos autentikasi, karakter khusus seperti tanda sama dengan (
=) dan tanda tambah (+) dalam URL diloloskan.
Aktifkan dan konfigurasikan Penandatanganan URL
Sebelum mengaktifkan penandatanganan URL, pastikan bahwa Anda telah mengonfigurasi aturan penandatanganan URL, termasuk algoritma autentikasi dan kunci kriptografi, pada server asal.
Logika autentikasi pada ApsaraVideo VOD harus sesuai dengan yang ada di server asal.
Masuk ke Konsol ApsaraVideo VOD.
Di panel navigasi sisi kiri Konsol ApsaraVideo VOD, pilih untuk membuka halaman Nama Domain.
Pilih nama domain yang ingin Anda konfigurasikan untuk penandatanganan URL dan klik Configure di kolom Tindakan.
Klik Resource Access Management.
Klik tab URL Authentication, lalu klik Modify di bagian URL Authentication Settings.
Aktifkan URL Authentication dan konfigurasikan informasi autentikasi URL.
Tabel berikut menjelaskan parameter-parameter tersebut.
Parameter
Deskripsi
Authentication Type
Fitur penandatanganan URL dari ApsaraVideo VOD mendukung tiga jenis penandatanganan. Anda dapat memilih jenis penandatanganan berdasarkan kebutuhan bisnis Anda untuk melindungi sumber daya di server asal Anda. Jenis penandatanganan yang didukung:
CatatanJika penandatanganan URL gagal, kesalahan 403 akan dikembalikan. Penyebab kesalahan tersebut meliputi hal-hal berikut:
Nilai MD5 tidak valid
Contoh:
X-Tengine-Error:denied by req auth: invalid md5hash=de7bfdc915ced05e17380a149bd7****Timestamp tidak valid
Contoh:
X-Tengine-Error:denied by req auth: expired timestamp=143946****
Primary Key
Tentukan kunci utama untuk tipe penandatanganan yang dipilih. Kunci utama harus memiliki panjang 6 hingga 32 karakter dan dapat berisi huruf besar, huruf kecil, dan angka.
Secondary Key
Tentukan kunci sekunder untuk tipe penandatanganan yang dipilih. Kunci sekunder harus memiliki panjang 6 hingga 32 karakter dan dapat berisi huruf besar, huruf kecil, dan angka. Anda harus menentukan salah satu antara kunci utama atau kunci sekunder.
CatatanKunci utama dan kunci sekunder memiliki efek yang sama. Kunci sekunder digunakan untuk memastikan transisi yang lancar. Jika kunci utama diubah, semua URL pemutaran yang dihasilkan menggunakan kunci utama asli langsung menjadi tidak valid. Saat Anda beralih dari kunci utama ke kunci sekunder, URL pemutaran yang dihasilkan menggunakan kunci utama asli tetap valid selama periode waktu tertentu. Kunci sekunder berfungsi sebagai kunci utama. Ini memastikan transisi yang lancar.
Default Validity Period
Tentukan periode validitas untuk URL yang ditandatangani. Pengguna dapat mengakses ApsaraVideo VOD sebelum URL yang ditandatangani kedaluwarsa. Waktu kedaluwarsa URL yang ditandatangani dihitung berdasarkan rumus berikut: Waktu kedaluwarsa = Timestamp + Periode validitas.
Nilai default: 30. Unit: menit.
Sebagai contoh, timestamp dari URL yang ditandatangani adalah 2020-08-15 15:00:00 (UTC+8), dan periode validitasnya adalah 30 menit. Dalam kasus ini, URL yang ditandatangani tetap valid hingga 15:30:00 pada 15 Agustus 2020 (UTC+8).
Preview
Jika fitur pratinjau diaktifkan, pengguna dapat melihat atau mendengarkan cuplikan file video atau audio, seperti 5 menit pertama dari file tersebut. Fitur ini banyak digunakan dalam layanan berbayar, seperti konten video atau audio yang membebankan biaya kepada non-anggota. Untuk informasi lebih lanjut, lihat Pratinjau Video.
Klik OK untuk menyelesaikan konfigurasi.
Setelah konfigurasi selesai, autentikasi URL mulai berlaku untuk nama domain ini.
Jika sumber daya Anda berada di Konsol ApsaraVideo VOD, sistem secara otomatis menghasilkan URL yang ditandatangani dengan waktu kedaluwarsa. Anda juga dapat memperoleh URL yang ditandatangani dengan memanggil operasi GetPlayInfo.
CatatanSetelah autentikasi URL diaktifkan, URL file video, file audio, gambar mini, dan snapshot akan ditandatangani.
Nonaktifkan Penandatanganan URL
Jika penandatanganan URL dinonaktifkan pada ApsaraVideo VOD tetapi permintaan pengguna masih membawa parameter autentikasi, ApsaraVideo VOD tidak dapat menghapus parameter autentikasi tersebut. Dalam kasus ini, permintaan tidak dapat mencapai cache dan dialihkan ke server asal, meningkatkan lalu lintas jaringan pada server asal dan biaya transfer data. Jika Anda ingin menonaktifkan penandatanganan URL, pastikan bahwa penandatanganan URL dinonaktifkan baik pada server asal maupun ApsaraVideo VOD.
Di bagian URL Authentication Settings, klik Modify.
Matikan saklar URL Authentication.
Hapus parameter autentikasi dari URL permintaan pada server aplikasi Anda.
Hasilkan URL yang Ditandatangani
Generasi Konsol
Untuk memastikan bahwa logika autentikasi diimplementasikan dengan benar, kami sarankan Anda menjalankan tes di Konsol ApsaraVideo VOD untuk memverifikasi apakah URL yang ditandatangani sudah benar.
Di bagian Generate Signed URL, konfigurasikan Original URL dan informasi autentikasi.
Tabel berikut menjelaskan parameter-parameter tersebut.
Parameter
Deskripsi
Original URL
Masukkan URL asli lengkap, misalnya,
https://****.com/ecs.mp4.Authentication Type
Pilih tipe autentikasi URL (A/B/C) berdasarkan konfigurasi Anda di Aktifkan dan konfigurasikan Penandatanganan URL.
Authentication Key
Masukkan Primary Key atau Secondary Key Anda berdasarkan konfigurasi Anda di Aktifkan dan konfigurasikan Penandatanganan URL.
Validity Period
Masukkan periode validitas untuk autentikasi URL berdasarkan konfigurasi Anda di Aktifkan dan konfigurasikan Penandatanganan URL. Unit: detik. Contoh: 1800.
Klik Generate untuk mendapatkan Signed URL dan Timestamp.
Hasilkan URL yang Ditandatangani dengan Menggunakan SDK
Anda dapat mengintegrasikan SDK ApsaraVideo VOD ke server bisnis Anda dan memanggil operasi GetPlayInfo untuk menghasilkan URL yang ditandatangani.
Hasilkan URL yang Ditandatangani dengan Menggunakan Kode
Anda dapat menggunakan kode untuk menggabungkan dan menghasilkan URL yang ditandatangani berdasarkan tiga jenis penandatanganan yang berbeda.