为什么要使用「URL鉴权」形式的高级防盗链
为保护资源被滥用,CDN 配置 Referer 和 IP 的黑白名单来判断是否是合法用户及来源。但 Referer 内容可被伪造,实际使用中仍存在隐患。 为了更好地保护源站资源,CDN 支持加密 URL 的功能,通过鉴权的方式来正确响应合法请求、拒绝非法请求。
工作原理
- 在控制台为需要保护的 “加速项目” 启用“高级鉴权”,并设置一个名为
鉴权 Key的“暗号”; - 利用与 CDN 同样策略的方式向合法用户提供利加密的 URL,并通过 ts 参数设定该 URL 的有效时间戳;
- 用户在访问资源时会根据下面的
规则判断请求的合法性:- 是否有签名:
- 是 -
继续判断下一条规则 - 否 -
返回 403 Forbidden;
- 是 -
- 当前是否早于 ts 早于参数规定的时间戳:
- 是 -
继续判断下一条规则 - 否 -
返回 403 Forbidden;
- 是 -
- 判断 token 是否合法(防止 ts 被伪造):
- 是 -
200 并返回资源 - 否 -
返回 403 Forbidden。
- 是 -
- 是否有签名:
典型范例
一个正确的典型高级防盗链 URL 应该类似于:
http://tests3origin.dogecast.com/image.jpg?_ts=1701091625&_btf_tk=960edecad993db64d8aab938c7dfc3f7
其中:
- ts: 为 UTC 时间戳,意为:该 URL 的时效时间(晚于该时间后链接将返回 403)
- token: 用 tokenKey + path (本例为 /image.jpg) + args (本例为 _ts=1701091625)
代码示例:
下面是部分主流语言实现上述 典型范例 中的 高级鉴权 URL 的示例代码。
它们应该可在各个 playground 中被正确执行。
安全事项
下面虽然列出了部分客户端语言的示例,但缤纷云建议您永远只在服务端生成高级鉴权链接并分发给客户端。 因为这可以:
- 最大程度保护 tokenKey 的安全;
- 更高效、安全地随时替换 tokenKey(不必迫使用户更新客户端)。
PHP 语言版本
function creatLink() {
$deadLine = time() + 60; # 链接在未来的 60秒 内有效
$tokenKey = "testsecretkey"; # 缤纷云后台设置的 鉴权Key
$domain = "http://tests3origin.dogecast.com";
$fileName = "/image.jpg";
$md5RawString = $tokenKey.$fileName.
"?_ts=".$deadLine;
$md5Result = md5($md5RawString);
$tokenLink = $domain.$fileName.
"?_btf_tk=".$md5Result.
"&_ts=".$deadLine;
return $tokenLink;
}
echo creatLink();
Go 语言版本
time.Now().Unix() 有效性提示
- 大部分 Golang playground 并不支持获取时间戳 ———— time.Now().Unix() 将会得到一个错误的早期时间;
- 请注意选择部分第三方支持该特性的 Golang playground;
- 以下 golang 示例代码可以在 Programiz 得到正确地执行。
package main
import (
"crypto/md5"
"encoding/hex"
"fmt"
"time"
)
func createLink() string {
deadLine := time.Now().Unix() + 60 // 链接在未来的 60秒 内有效
tokenKey := "testsecretkey" // 缤纷云后台设置的 鉴权Key
domain := "http://tests3origin.dogecast.com"
fileName := "/image.jpg"
rawString := fmt.Sprintf("%s%s?_ts=%d", tokenKey, fileName, deadLine)
hasher := md5.New()
hasher.Write([]byte(rawString))
md5Result := hex.EncodeToString(hasher.Sum(nil))
tokenLink := fmt.Sprintf("%s%s?_btf_tk=%s&_ts=%d", domain, fileName, md5Result, deadLine)
return tokenLink
}
func main() {
fmt.Println(createLink())
}
Python3 语言版本
import hashlib
import time
def create_link():
deadLine = int(time.time()) + 60 # 链接在未来的 60秒 内有效
tokenKey = "testsecretkey" # 缤纷云后台设置的 鉴权Key
domain = "http://tests3origin.dogecast.com"
fileName = "/image.jpg"
rawString = f"{tokenKey}{fileName}?_ts={deadLine}"
md5Result = hashlib.md5(rawString.encode()).hexdigest()
tokenLink = f"{domain}{fileName}?_btf_tk={md5Result}&_ts={deadLine}"
return tokenLink
print(create_link())
JS 语言版本
const crypto = require('crypto');
function createLink() {
let deadLine = Math.floor(Date.now() / 1000) + 60; // 链接在未来的 60秒 内有效
let tokenKey = "testsecretkey"; // 缤纷云后台设置的 鉴权Key
let domain = "http://tests3origin.dogecast.com";
let fileName = "/image.jpg";
let rawString = tokenKey + fileName + "?_ts=" + deadLine;
let md5Result = crypto.createHash('md5').update(rawString).digest('hex');
let tokenLink = domain + fileName + "?_btf_tk=" + md5Result + "&_ts=" + deadLine;
return tokenLink;
}
console.log(createLink());
Java 语言版本
import java.security.NoSuchAlgorithmException;
import java.time.Instant;
import java.security.MessageDigest;
import java.nio.charset.StandardCharsets;
import java.math.BigInteger;
public class Main {
public static void main(String[] args) throws NoSuchAlgorithmException {
System.out.println(createLink());
}
public static String createLink() throws NoSuchAlgorithmException {
long deadline = Instant.now().getEpochSecond() + 60; // 链接在未来的 60秒 内有效
String tokenKey = "testsecretkey"; // 缤纷云后台设置的 鉴权Key
String domain = "http://tests3origin.dogecast.com";
String fileName = "/image.jpg";
String rawString = tokenKey + fileName + "?_ts=" + deadline;
String md5Result = getMd5(rawString);
String tokenLink = domain + fileName + "?_btf_tk=" + md5Result + "&_ts=" + deadline;
return tokenLink;
}
public static String getMd5(String input) {
try {
MessageDigest md = MessageDigest.getInstance("MD5");
byte[] messageDigest = md.digest(input.getBytes(StandardCharsets.UTF_8));
BigInteger no = new BigInteger(1, messageDigest);
String hashtext = no.toString(16);
while (hashtext.length() < 32) {
hashtext = "0" + hashtext;
}
return hashtext;
}
catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
}
rust 语言版本
extern crate chrono;
extern crate crypto;
use chrono::prelude::*;
use crypto::digest::Digest;
use crypto::md5::Md5;
fn create_link() -> String {
let deadline = Utc::now().timestamp() + 60; // 链接在未来的 60秒 内有效
let token_key = "testsecretkey"; // 缤纷云后台设置的 鉴权Key
let domain = "http://tests3origin.dogecast.com";
let file_name = "/image.jpg";
let raw_string = format!("{}{}?_ts={}", token_key, file_name, deadline);
let mut hasher = Md5::new();
hasher.input_str(&raw_string);
let md5_result = hasher.result_str();
let token_link = format!("{}{}?_btf_tk={}&_ts={}", domain, file_name, md5_result, deadline);
token_link
}
fn main() {
println!("{}", create_link());
}
⚠️ 请注意: 在运行 Rust 代码前需要在你的 Cargo.toml 文件中添加以下依赖
[dependencies]
chrono = "0.4"
rust-crypto = "0.2"
swift 语言版本
import CommonCrypto
import Foundation
func MD5(string: String) -> String {
let length = Int(CC_MD5_DIGEST_LENGTH)
var digest = [UInt8](repeating: 0, count: length)
if let data = string.data(using: String.Encoding.utf8) {
data.withUnsafeBytes { _ = CC_MD5($0.baseAddress, CC_LONG(data.count), &digest) }
}
return digest.map { String(format: "%02x", $0) }.joined()
}
func createLink() -> String {
let deadline = Int(Date().timeIntervalSince1970) + 60
let tokenKey = "testsecretkey"
let domain = "http://tests3origin.dogecast.com"
let fileName = "/image.jpg"
let rawString = "\(tokenKey)\(fileName)?_ts=\(deadline)"
let md5Result = MD5(string: rawString)
let tokenLink = "\(domain)\(fileName)?_btf_tk=\(md5Result)&_ts=\(deadline)"
return tokenLink
}
print(createLink())
kotlin 语言版本
import java.security.MessageDigest
import java.time.Instant
fun createLink(): String {
val deadline = Instant.now().epochSecond + 60
val tokenKey = "testsecretkey"
val domain = "http://tests3origin.dogecast.com"
val fileName = "/image.jpg"
val rawString = "$tokenKey$fileName?_ts=$deadline"
val md = MessageDigest.getInstance("MD5")
md.update(rawString.toByteArray())
val md5Result = md.digest().joinToString("") { "%02x".format(it) }
val tokenLink = "$domain$fileName?_btf_tk=$md5Result&_ts=$deadline"
return tokenLink
}
fun main() {
println(createLink())
}