請求詐欺防止のための HTTPDNS 署名アクセスを有効化 - HTTPDNS

背景情報

課金に影響を及ぼす不正利用を防止するため、認証機構を設計しました。本ドキュメントでは、その統合方法について説明します。

既存ユーザーは、非認証 API を使用するプロダクトをすでに導入しています。サービス継続性を確保するため、これらのユーザーは今後も非認証 API を引き続きご利用ください。

このため、新たに認証付き APIをご提供します。新バージョンのプロダクトについては、段階的にこの API へ移行できます。レガシアプリの利用者数が管理可能な水準まで低下した時点で、署名付きアクセスを有効化することで、不正利用による課金への影響を防止できます（以下の図を参照）。

警告

HTTP API をご利用になる前に、「ベストプラクティス」をご参照ください。これを怠ると、サービスが正常に動作しなくなる可能性があります。

認証付き API

重要

署名アルゴリズム

sign = md5sum( host-secret-timestamp )

認証フィールドの説明

フィールド	説明
host	解決対象のホストです。URL 内の host パラメーターと同じ値を使用してください。
secret	サーバーが生成するシークレットです。コンソール > 構成> 開発構成。
timestamp	署名の有効期限（UNIX 時間）。1970 年 1 月 1 日からの経過秒数（正の整数、10 桁）です。説明署名の有効期間は最大 24 時間です。

署名の例

サンプル 1（標準解決 API）：
- 元のリクエスト：http://47.74.XXX.XXX/{account_id}/d?host=www.aliyun.com
- シークレットが IAmASecret であり、署名の有効期限が 2018 年 8 月 15 日 15:00:00 UTC + 08:00（タイムスタンプ：1534316400）であると仮定します。
- sign = md5sum("www.aliyun.com-IAmASecret-1534316400") = 60c71e98b6d7fcbb366243e224eab457
- 認証済みリクエスト：http://47.74.XXX.XXX/{account_id}/sign_d?host=www.aliyun.com&t=1534316400&s=60c71e98b6d7fcbb366243e224eab457
サンプル 2（バッチ解決 API）：
- 元のリクエスト：
  http://47.74.XXX.XXX/{account_id}/resolve?host=www.aliyun.com,www.taobao.com
- シークレットが IAmASecret であり、署名の有効期限が 2018 年 8 月 15 日 15:00:00 UTC + 08:00（タイムスタンプ：1534316400）であると仮定します。
- sign = md5sum("www.aliyun.com,www.taobao.com-IAmASecret-1534316400") = 12a3f6b1b14a46ca813ca6439beb59a4
- 認証済みリクエスト：http://47.74.XXX.XXX/{account_id}/sign_resolve?host=www.aliyun.com,www.taobao.com&t=1534316400&s=12a3f6b1b14a46ca813ca6439beb59a4

本ソリューションの長所と短所

短所
- クライアントのシステム時刻が同期されていない可能性があります。
- シークレットをクライアント側に保存すると、シークレットが漏洩するリスクがあり、セキュリティリスクとなります。
長所
- サーバー側でのデータ取得処理が不要です。

認証が成功した場合、HTTP ステータスコードは 200 となり、応答内容は「単一ドメイン解決」のAPI 応答仕様と一致します。
認証が失敗した場合、HTTP ステータスコードは 403 または 400 になります。レスポンスボディは JSON 形式で、特定のエラーコードを含みます。
```
 { "code": "InvalidSignature" }
```