配置URL鉴权

鉴权逻辑

1. CDN客户在源站应用服务器配置鉴权URL的生成规则（包括鉴权算法和密钥）。

   假设鉴权URL为：http://DomainName/timestamp/md5hash/FileName。

2. 客户端访问源站应用的页面时，源站应用服务器将会按照鉴权URL的生成规则生成鉴权URL，并且把鉴权URL包含在应用页面上返回给客户端（图中2和3）。
3. 客户端使用鉴权URL向CDN加速节点发起资源请求。
4. CDN加速节点对鉴权URL中的鉴权信息（包括鉴权字符串、时间戳等）进行验证，判断请求的合法性。
   • 鉴权失败，拒绝访问请求。
   • 鉴权通过，正常响应合法请求。
     说明

     • 若CDN节点没有缓存资源，CDN节点回源前，会去掉鉴权URL中的鉴权参数，将鉴权URL还原为原始URL（例如：http://DomainName/FileName），再使用原始URL生成缓存key或者发起回源请求。
     • 您的请求URL经过CDN鉴权后，URL中的特殊字符，例如=、+等会被转义。

配置鉴权URL并开启鉴权

1. 登录CDN控制台。
2. 在左侧导航栏，单击域名管理。
3. 在域名管理页面，单击目标域名对应的管理。
4. 在指定域名的左侧导航栏，单击访问控制。
5. 单击URL鉴权页签。
6. 在鉴权URL设置区域，单击修改配置。
7. 打开URL鉴权开关，配置URL鉴权信息。
   

   参数	说明
   鉴权类型	阿里云CDN提供了3种鉴权签名计算方式。您可以根据访问加密URL格式，选择合适的鉴权方式，实现对源站资源的有效保护。URL鉴权类型如下： 鉴权方式A说明 鉴权方式B说明 鉴权方式C说明 说明 URL鉴权错误会返回403报错： MD5计算类错误 例如：X-Tengine-Error:denied by req auth: invalid md5hash=de7bfdc915ced05e17380a149bd760be 时间类报错 例如：X-Tengine-Error:denied by req auth: expired timestamp=1439469547
   主KEY	输入鉴权方式对应的主用密码。
   备KEY	输入鉴权方式对应的备用密码。
   鉴权URL有效时长	CDN配置的鉴权URL有效时长，用户可在（timestamp+CDN上鉴权URL有效时长）时间区间内访问CDN，超出该区间，鉴权失效。 单位：秒 取值范围：1~31536000 默认值：1800（30分钟） 示例：例如签算服务器生成鉴权URL的时间（timestamp）为2020-08-15 15:00:00（UTC+8），CDN上鉴权URL有效时长为1800秒，则鉴权URL失效时间为2020-08-15 15:30:00（UTC+8）。

8. 单击确定。

验证鉴权URL正确性

为保证服务器正确实现了鉴权逻辑，配置鉴权URL后，建议您在CDN控制台生成对应的鉴权URL，校验鉴权URL的正确性。

1. 在生成鉴权URL区域，配置原始URL和鉴权信息。
   

   参数	说明
   原始URL	输入完整的原始URL地址，例如：https://www.aliyun.com。
   鉴权类型	按照您在配置鉴权URL的配置，选择URL鉴权类型。
   鉴权KEY	按照您在配置鉴权URL的配置，输入您配置的主KEY或备KEY。
   鉴权URL有效时长	按照您在配置鉴权URL的配置，输入URL鉴权的有效时长，单位为秒。

2. 单击开始生成，即可获得鉴权URL和Timestamp。
   

关闭URL鉴权

1. 在CDN控制台的URL鉴权设置区域，单击修改配置，关闭URL鉴权开关。
2. 在您的应用服务器中去掉请求URL的鉴权参数。