操作說明

登錄，進入控制臺->CDN->域名管理->配置->訪問控制

時間戳防盜鏈修改配置

時間戳防盜鏈：默認為關(guān)閉，開啟時，會同時生成兩組可用的key，用戶需先按照文檔說明在代碼中將Key配置進您的URL，再進行格式檢查，然后確認開啟；還可以自定義輸入KEY，支持輸入備用KEY且不能與主KEY相同；同時需要輸入檢查URL，以保證鑒權(quán)服務(wù)正常可用，以免影響服務(wù)。

算法說明

基于時間戳的防盜鏈是通過對時間有關(guān)的字符串進行簽名，將時間、簽名通過一定的方式傳遞給 CDN 服務(wù)器作為判定依據(jù)，CDN 邊緣節(jié)點根據(jù)約定的算法判斷來訪URL是否有訪問權(quán)限。

通過，執(zhí)行下一步；不通過，響應(yīng) HTTP status code 403。

若同時配置了 Referer、UA防盜鏈、時間戳防盜鏈，有一項不滿足條件，即為不通過，響應(yīng) 403 。

簽名參數(shù)

• T：URL 過期時間。按 unix_time 的 16進制小寫形式表示。 如 2015-08-01 00:00:00 –> 1438358400 –> 55bb9b80
• key：在開啟時間戳防盜鏈時，可以由使用：（控制臺->CDN->域名管理->訪問控制->時間戳防盜鏈），使用其中一個即可。也可以自行使用算法生成。
• path：訪問資源的 URL 中的路徑部分，例如：訪問的URL為 http://xxx.yyy.com/DIR1/dir2/vodfile.mp4?v=1.1，則 path = /DIR1/dir2/vodfile.mp4（注意不含 querystring 部分）

簽名算法

• 簽名原始字符串 S = key + url_encode(path) + T 。斜線 / 不編碼。
• 簽名 SIGN = md5(S).to_lower()，to_lower 指將字符串轉(zhuǎn)換為小寫；

注：本文所提到的 url_encode 算法。

簽名參數(shù)傳遞方式

作為URL查詢參數(shù)。

例如原始訪問的URL為： http://xxx.yyy.com/DIR1/dir2/vodfile.mp4?v=1.1

最終形成的訪問URL為： http://xxx.yyy.com/DIR1/dir2/vodfile.mp4?v=1.1&sign=<SIGN>&t=<T>

• 簽名參數(shù) sign、 t ，sign 在前，t 在后；
• <SIGN>、<T> 替換為對應(yīng)的值， 實際url中不含<> ；

訪問url

訪問 url 的 path 部分也需要 url_encode，其算法與簽名時使用 url_encode 算法一致。斜線 / 不編碼。

訪問 url 為：

scheme+"://"+host+url_encode(path)+query_part

如

http://xxx.yyy.com/DIR1/dir2/vodfile.mp4?v=1.1&sign=19eb212771e87cc3d478b9f32d6c7bf9&t=55bb9b80
http://xxx.yyy.com/DIR1/%E4%B8%AD%E6%96%87/vodfile.mp4?v=1.2&sign=6356bca0d2aecf7211003e468861f5ea&t=55bb9b80

注：

1. 本文所提到的 url_encode 算法，斜線 / 不編碼。
2. 訪問 url 的 path 部分推薦按 url_encode 編碼，如下例。

示例

例1：

URL http://xxx.yyy.com/DIR1/dir2/vodfile.mp4?v=1.1 ，假設(shè) key = 12345678 ；過期時間為 2015-08-01 00:00:00 ，即 1438358400 ，也就是 T = 55bb9b80 ， S = 12345678/DIR1/dir2/vodfile.mp455bb9b80 ，SIGN = 19eb212771e87cc3d478b9f32d6c7bf9 ， 訪問 url 為：

http://xxx.yyy.com/DIR1/dir2/vodfile.mp4?v=1.1&sign=19eb212771e87cc3d478b9f32d6c7bf9&t=55bb9b80

之后將 url 地址填寫在上圖中的 檢查url 處驗證。

例2：

URL http://xxx.yyy.com/DIR1/中文/vodfile.mp4?v=1.2 ，假設(shè) key = 12345678 ；T = 55bb9b80 ， S = 12345678/DIR1/%E4%B8%AD%E6%96%87/vodfile.mp455bb9b80 ，SIGN = 6356bca0d2aecf7211003e468861f5ea ，訪問 url 為：

http://xxx.yyy.com/DIR1/%E4%B8%AD%E6%96%87/vodfile.mp4?v=1.2&sign=6356bca0d2aecf7211003e468861f5ea&t=55bb9b80

之后將 url 地址填寫在上圖中的 檢查url 處驗證。

服務(wù)端驗證

服務(wù)端拿到原始的 url ，直接解析出 host, path, sign, t ，再簽名。

算法： S = key + path + t，SIGN = md5(S).to_lower() 。

注意此處沒有 url_encode 操作。

原始的 url 指未經(jīng) url_decoded 的內(nèi)容。

以 nginx 為例說明：

瀏覽器發(fā)出實際請求url： http://example.com/foobar/hello%20world

nginx變量 $uri： http://example.com/foobar/hello world

nginx變量 $request_uri： http://example.com/foobar/hello%20world

原始的 url 內(nèi)容和 $request_uri 內(nèi)容一致。

要求驗證簽名時使用 $request_uri ，此值為原始值，內(nèi)容是正確的經(jīng)過 url encode 的內(nèi)容，所以 path 不用編碼。

服務(wù)端不能使用 $uri 獲取各參數(shù)，然后再調(diào)用 url_encode 來獲取待簽名的 path。path url_encode 后再 url_decode，獲得的內(nèi)容與原 path 可能不一樣。

http://example.com/foobar/hello+world
http://example.com/foobar/hello%2Bworld
http://example.com/foobar/hello%2bworld

以上三個url都是合法的訪問同一資源的鏈接。相同 key 、T，執(zhí)行簽名后會有三個不同的值。 %2b url_decode 再 url_encode 可能得到 %2B，導致簽名不一致。