Neste guia, explicamos como gerar um token e os campos obrigatórios e opcionais para tokens.
Para criar um token, escreva uma string a ser assinada, que chamaremos de valor assinado neste guia. O valor assinado inclui parâmetros que descrevem o conteúdo que você está protegendo, o prazo de validade do valor assinado e assim por diante.
Você usa o valor assinado ao criar uma string de token. Você cria uma string de token compondo os parâmetros do token, como um código de autenticação de mensagem baseado em hash de chave simétrica (HMAC) do valor assinado.
O Media CDN usa o token composto final para ajudar a proteger seu conteúdo.
Criar um token
Crie um valor assinado concatenando uma string que contém os campos de token obrigatórios e os campos de token opcionais desejados. Separe cada campo e quaisquer parâmetros com um caractere til
~
.Assine o valor assinado com uma assinatura Ed25519 ou um HMAC de chave simétrica.
Componha o token concatenando uma string que contém os campos de token obrigatórios e os campos de token opcionais. Separe cada campo e todos os parâmetros com um caractere til
~
.Ao compor o token, os valores de cada um dos parâmetros são os mesmos entre o valor assinado e a string do token, com as seguintes exceções:
FullPath
Headers
O exemplo de código a seguir mostra como criar um token de maneira programática:
Python
Para autenticar no Media CDN, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no Media CDN, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
As seções a seguir descrevem os campos usados pelos tokens.
Campos de token obrigatórios
Os campos a seguir são obrigatórios para cada token:
Expires
- Uma das seguintes opções:
PathGlobs
URLPrefix
FullPath
- Uma das seguintes opções:
Signature
hmac
A menos que especificado de outra forma, os nomes dos parâmetros e os valores deles diferenciam maiúsculas de minúsculas.
A tabela a seguir explica cada parâmetro:
Nome / aliases do campo | Parâmetros de token | Valor assinado |
---|---|---|
|
Segundos inteiros que passaram desde a época do Unix (1970-01-01T00:00:00Z) | Expires=EXPIRATION_TIME . Após essa data, o token não será mais válido. |
|
Uma lista de até cinco segmentos de caminho aos quais conceder acesso. Eles podem ser delimitados por vírgulas (
Os parâmetros de caminho, indicados com ponto e vírgula ( Por esses motivos, verifique se o URL não contém os seguintes
caracteres especiais: |
PathGlobs=PATHS |
URLPrefix |
Um URL codificado em base64 seguro para a Web, incluindo o protocolo Por exemplo, alguns valores válidos de URLPrefix para "https://example.com/foo/bar.ts" são "https://example.com", "https://example.com/foo" e "https://example.com/foo/bar". |
URLPrefix=BASE_64_URL_PREFIX |
FullPath |
Nenhuma. Ao especificar FullPath em um token, não duplique o caminho especificado no valor assinado. Em um token, inclua o nome do campo sem um = . |
FullPath=FULL_PATH_TO_OBJECT |
Signature |
Uma versão da assinatura codificada em base64 e segura para a Web. | Não aplicável |
hmac |
Uma versão codificada em base64 segura para a Web do valor HMAC. | Não aplicável |
Sintaxe de caractere curinga PathGlobs
A tabela a seguir explica a sintaxe de caractere curinga PathGlobs
.
Operador | Corresponde a | Examples |
---|---|---|
* (asterisco) |
Corresponde a zero ou mais caracteres no caminho do URL, incluindo
caracteres de barra (/ ).
|
|
? (ponto de interrogação) |
Corresponde a um único caractere no
caminho do URL, sem incluir caracteres de
barra (/ ).
|
/videos/s?main.m3u8 corresponde a
/videos/s1main.m3u8 . Ele não corresponde a /videos/s01main.m3u8 ou /videos/s/main.m3u8 .
|
Os Globs precisam começar com um asterisco (*
) ou uma barra (/
)
para caminhos de URL.
Como *
e /*
correspondem a todos os caminhos de URL, não recomendamos usar nenhum deles nos tokens assinados. Para proteção máxima,
verifique se os globs correspondem ao conteúdo ao qual você pretende conceder acesso.
Campos de token opcionais
A menos que especificado de outra forma, os nomes dos parâmetros e os valores deles diferenciam maiúsculas de minúsculas.
A tabela a seguir explica nomes de parâmetros, aliases e detalhes de parâmetros opcionais:
Nome / aliases do campo | Parâmetros | Valor assinado |
---|---|---|
|
Segundos inteiros desde a época do Unix (1970-01-01T00:00:00Z) | Starts=START_TIME |
IPRanges |
Uma lista de até cinco endereços IPv4 e IPv6 no formato CIDR para os quais esse URL é válido no formato base64 seguro para a Web. Por exemplo, para especificar os intervalos de IP "192.6.13.13/32,193.5.64.135/32", especifique Pode não ser útil incluir IPRanges em tokens quando os clientes estão
em risco de migrações de WAN ou casos em que o caminho de rede para o
front-end do aplicativo é diferente do caminho de entrega.
O Media CDN rejeita clientes com um código Veja a seguir casos que podem fazer com que o Media CDN
rejeite clientes com um código
Todos esses fatores podem contribuir para que um determinado cliente tenha um endereço IP não determinístico durante uma sessão de reprodução de vídeo. Se o
endereço IP do cliente mudar após a emissão do acesso e o
cliente tentar fazer o download de um trecho de vídeo no buffer de
reprodução, ele receberá um |
IPRanges=BASE_64_IP_RANGES |
|
Uma string arbitrária, útil para análise de registros ou rastreamento de reprodução. Para evitar a criação de um token inválido, use strings codificadas com % ou
seguras para a Web em base64. Os caracteres a seguir não podem ser usados para
|
SessionID=SESSION_ID_VALUE |
|
Uma string arbitrária, útil para análise de registros. Para evitar a criação de um token inválido, use strings codificadas com % ou
seguras para a Web em base64. Os caracteres a seguir não podem ser usados para
|
data=DATA_VALUE |
Headers |
Uma lista delimitada por vírgulas de nomes de campos de cabeçalho. Os nomes de cabeçalho não diferenciam maiúsculas de minúsculas nas pesquisas da solicitação. Os nomes de cabeçalho nos valores assinados diferenciam maiúsculas de minúsculas. Se um cabeçalho estiver ausente, o valor será a string vazia. Se houver várias cópias de um cabeçalho, elas serão concatenadas por vírgulas. | Headers=HEADER_1_NAME=HEADER_1_EXPECTED_VALUE,
HEADER_2_NAME=HEADER_2_EXPECTED_VALUE |
Examples
As seções a seguir mostram exemplos para gerar tokens.
Exemplo de uso de FullPath
Considere o exemplo a seguir usando o campo FullPath
:
- Item solicitado:
http://example.com/tv/my-show/s01/e01/playlist.m3u8
- Tempo de validade: 16.000.000
O valor assinado é:
Expires=160000000~FullPath=/tv/my-show/s01/e01/playlist.m3u8
Para criar um token, assine o valor assinado com uma assinatura Ed25519 ou um HMAC de chave simétrica.
Confira a seguir exemplos de tokens criados com um valor assinado:
Assinatura Ed25519
Expires=160000000~FullPath~Signature=SIGNATURE_OF_SIGNED_VALUE
Em que SIGNATURE_OF_SIGNED_VALUE é a assinatura ED25519 do valor assinado criado anteriormente.
HMAC de chave simétrica
Expires=160000000~FullPath~hmac=HMAC_OF_SIGNED_VALUE
Em que HMAC_OF_SIGNED_VALUE é o HMAC de chave simétrica do valor assinado criado anteriormente.
Nos exemplos anteriores, FullPath
é fornecido no token, mas o valor
não é repetido a partir do caminho especificado no valor assinado. Isso permite que você
assine o caminho completo da solicitação sem duplicá-la no token.
Exemplo de uso de URLPrefix
Considere o exemplo a seguir usando o campo URLPrefix
:
- Item solicitado:
http://example.com/tv/my-show/s01/e01/playlist.m3u8
- Tempo de validade: 16.000.000
O valor assinado é:
Expires=160000000~URLPrefix=aHR0cDovL2V4YW1wbGUuY29tL3R2L215LXNob3cvczAxL2UwMS9wbGF5bGlzdC5tM3U4
No exemplo anterior, substituímos o caminho para o item solicitado,
http://example.com/tv/my-show/s01/e01/playlist.m3u8
, pelo caminho para o item
no formato Base64 seguro para a Web,
aHR0cDovL2V4YW1wbGUuY29tL3R2L215LXNob3cvczAxL2UwMS9wbGF5bGlzdC5tM3U4
.
Para criar um token, assine o valor assinado com uma assinatura Ed25519 ou um HMAC de chave simétrica.
Confira a seguir exemplos de tokens criados com um valor assinado:
Assinatura Ed25519
Expires=160000000~URLPrefix=aHR0cDovL2V4YW1wbGUuY29tL3R2L215LXNob3cvczAxL2UwMS9wbGF5bGlzdC5tM3U4~Signature=SIGNATURE_OF_SIGNED_VALUE
Em que SIGNATURE_OF_SIGNED_VALUE é a assinatura ED25519 do valor assinado criado anteriormente.
HMAC de chave simétrica
Expires=160000000~URLPrefix=aHR0cDovL2V4YW1wbGUuY29tL3R2L215LXNob3cvczAxL2UwMS9wbGF5bGlzdC5tM3U4~hmac=HMAC_OF_SIGNED_VALUE
Em que HMAC_OF_SIGNED_VALUE é o HMAC de chave simétrica do valor assinado criado anteriormente.
Exemplo de uso de Headers
Considere o exemplo a seguir usando o campo Headers
:
- Item solicitado:
http://example.com/tv/my-show/s01/e01/playlist.m3u8
- Tempo de validade: 16.000.000
- Valor de PathGlobs:
*
- Cabeçalhos de solicitação esperados:
user-agent: browser
accept: text/html
O valor assinado é:
Expires=160000000~PathGlobs=*~Headers=user-agent=browser,accept=text/html
Para criar um token, assine o valor assinado com uma assinatura Ed25519 ou um HMAC de chave simétrica.
Confira a seguir exemplos de tokens criados com um valor assinado:
Assinatura Ed25519
Expires=160000000~PathGlobs=*~Headers=user-agent,accept~Signature=SIGNATURE_OF_SIGNED_VALUE
Em que SIGNATURE_OF_SIGNED_VALUE é a assinatura ED25519 do valor assinado criado anteriormente.
HMAC de chave simétrica
Expires=160000000~PathGlobs=*~Headers=user-agent,accept~hmac=HMAC_OF_SIGNED_VALUE
Em que HMAC_OF_SIGNED_VALUE é o HMAC de chave simétrica do valor assinado criado anteriormente.
Nos exemplos anteriores, Headers=user-agent,accept
é fornecido no token,
mas os valores de cabeçalho esperados não são repetidos a partir do valor assinado. Isso permite
assinar pares de chave-valor do cabeçalho da solicitação específicos sem duplicar os valores
no token.