作者:辰舒
在通过cdn对外提供服务时,为了保障资源的安全性,我们建议对请求进行访问权限控制,避免被恶意用户请求,提升业务在CDN上的安全性。
准备工作
1.已经添加完成的CDN域名
2.阿里云CDN控制台。
基础介绍
在使用CDN前,一般鉴权和响应均在源站完成。如下图,当终端用户对资源发起请求时,请求到达源站先校验是否符合权限控制规则,如果鉴权通过,源站再响应终端用户所请求的内容。
当业务使用CDN后,可能面临两个问题:
- 如果CDN在命中缓存时直接返回内容给终端用户,无需回源站,那此时源站的鉴权规则不会被触发。
- 如果鉴权token参数通过请求的query携带(例如:http://test.aliyun.com/test.mp4?token=1234×tamp=12345),由于鉴权参数值频繁变化,此时,CDN视为独立请求回源站进行鉴权,每次都无法共享缓存,导致无法享受正常缓存加速的效果。
那这两个问题如何解决呢?我们需要鉴权和响应拆分为两个环节去处理,其中的鉴权动作拆分到CDN节点执行,响应由源站和CDN节点共同完成。
如下图,当终端用户对资源发起请求时,请求到达CDN节点,由CDN节点校验是否符合权限控制规则。如果鉴权通过,CDN节点再执行内容响应动作:
- 节点本地已有缓存时,CDN节点将直接响应给用户,无需源站处理;
- 节点本地无缓存时,CDN节点将逐级回源拉取,直至回到源站获取。
了解鉴权功能的实现位置后,我们再一起学习CDN已经开放的鉴权功能,概览信息参考下表,常见功能将在下文介绍,您可以根据需求选择性阅读。在配置时,也可以通过基础防护组合进阶防护的方式,共同完成加强防护等级的目的。针对常用的基础防护和进阶防护,下文将为您具体介绍其工作逻辑及配置方法。如果您需要使用特殊防护中的功能,可以在控制台申请开通,参考产品文档进行配置。
|
类别 |
功能 |
效果 |
优点 |
缺点 |
安全指数 |
|
基础防护 |
Referer防盗链 |
通过配置访问的 Referer黑名单和白名单来实现对访客身份的识别和过滤 |
配置简单,定向防护 |
过滤方式单一,可能被伪造 |
★☆☆ |
|
IP黑白名单 |
通过配置IP黑名单和白名单来实现对访客身份的识别和过滤 |
配置简单,定向防护 |
过滤方式单一,可能被伪造 |
★☆☆ |
|
|
UA黑白名单 |
通过配置 |
原文链接:https://blog.csdn.net/Maxineeez/article/details/126499906?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171836857716800188575975%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=171836857716800188575975&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-19-126499906-null-null.nonecase&utm_term=cdn%E7%B3%BB%E7%BB%9F
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/33934
