互联网繁荣昌盛的今天,离不开核心技术团队的支持。就拿防止非法盗链来说吧,如果任意来源请求都可以盗链自己服务器的资源,那么将会降低企业的行业竞争力,还会导致企业为额外的非法流量买单。就此问题,光网烈火科技部上线了内部的资源鉴权服务器,可有效防止非法用户盗链光网资源,用户可查看演示地址,这种方法不仅适用于压缩包文件下载保护,也适用于音频、视频的有效保护,相比以前的referer防盗技术,此方法更为有效。

那么,什么是资源鉴权呢?鉴权功能用于保护用户站点资源不被非法下载盗用,并减少带宽资源的浪费,用于当其他防盗链方式(例如:IP禁用、referer 防盗链、UA 防盗链等)无法满足资源保护的高实时性及高安全性要求时的使用场景,所以它是一种更为安全可靠防盗方法。

技术分享:什么是CDN鉴权(by光网烈火)_鉴权/防盗链

目前阿里也在自己的CDN节点,部署了CDN鉴权功能。在接收到终端用户请求时,都需要去客户的鉴权服务器进行验证,验证通过之后才认为是合法请求,否则就会鉴权不通过,直接拒绝访问。从而实现有效保护用户站点资源。这里我们需要一台属于自己的鉴权服务器。由CDN客户站点提供给用户加密 URL (包含权限验证信息),用户使用加密后的 URL 向加速节点发起请求,加速节点对加密 URL 中的权限信息进行验证以判断请求的合法性,对合法请求给予正常响应,拒绝非法请求,从而有效保护CDN客户站点资源。

实战部署

下面,就发布出阿里CDN鉴权服务器中,需要部署的PHP代码片段给大家:

鉴权方式A

//http://DomainName/Filename?auth_key=timestamp-rand-uid-md5hash
//sstring = "URI-Timestamp-rand-uid-PrivateKey" (URI是用户的请求对象相对地址, 如 /Filename)
//HashValue = md5sum(sstring)
function PrivateKeyA(){
                  $time=strtotime("+8 hours");
                  $key="private.key";
                  $domain="https://www.lighttp.com";
                  $filename="/download/stream.mp4";
                  //$sstring = "URI-Timestamp-rand-uid-PrivateKey"
                  $sstring = $filename."-".$time."-0-0-".$key;
                  $md5=md5($sstring);
                  $auth_key="auth_key=".$time."-0-0-".$md5;
                  $url=$domain.$filename."?".$auth_key;
                  echo $url."\n";
}

鉴权方式B

//http://DomainName/timestamp/md5hash/FileName
//timestamp:用户访问时客户源服务器的时间,作为URL的一部分,同时作为计算 md5hash 的一个因子,格式为:YYYYMMDDHHMM ,有效时间1800s
//md5hash:以timestamp、FileName和预先设定好的 PrivateKey 共同做MD5获得的字符串,即 md5(PrivateKey + timestamp + FileName)
function PrivateKeyB(){
                  $time=date("YmdHi");
                  $key="private.key";
                  $domain="https://www.lighttp.com/";
                  $filename="/download/stream.mp4";
                  //$sstring = "PrivateKeytimestampFileName"
                  $sstring = $key.$time.$filename;
                  $md5=md5($sstring);
                  $url=$domain.$time."/".$md5.$filename;
                  echo $url."\n";
}

鉴权方式C

//http://DomainName/{/}/FileName
//md5hash = md5sum()
//time: 用户访问源服务器时间,取 UNIX 时间,以十六进制数字字符表示。
function PrivateKeyC(){
                  $time2=dechex(time());
                  $key="private.key";
                  $domain="https://www.lighttp.com/";
                  $filename="/download/stream.mp4";
                  //$sstring=PrivateKeyFileNametime
                  $sstring=$key.$filename.$time2;
                  $md5=md5($sstring);
                  $url=$domain.$md5."/".$time2.$filename;  
                  echo $url."\n";
}

注意事项

1.使用回源鉴权功能,每次请求都要鉴权,访问量大时,需考虑鉴权服务器的压力;

2.合法请求时,鉴权服务器需要响应合法的鉴权状态码或响应体,否则会鉴权失败;

3.可根据域名设置匹配规则添加多条鉴权配置;

4.匹配时依据序号由低到高开始逐条匹配,使用最早匹配上的规则配置进行鉴权。

鉴权错误都是返回 403
Md5计算类错误:
X-Lighttp-Com-Error:denied by req auth: invalid md5hash=de7bfdc915ced05e17380a149bd760be
时间类报错:
X-Lighttp-Com-Error:denied by req auth: expired timestamp=1439469547