O Media CDN usa pares de chaves criptográficas ao assinar solicitações. O Media CDN usa um conjunto de chaves para armazenar pares de chaves ativamente usados para assinar solicitações. É possível ter até três chaves públicas e três chaves chaves compartilhadas, totalizando seis chaves por conjunto de chaves.
Também é possível remover chaves não usadas de um conjunto de chaves. Como adicionar e remover uma chave normalmente é chamada de rotação secreta. A rotação de secrets permite seguintes:
- Adicione novos secrets a um conjunto de chaves com segurança, anexando-os a ele.
- Gere tokens com a chave secreta correspondente.
Remova os secrets antigos depois que o token mais antigo possível expirar.
Por exemplo, digamos que você definiu seus tokens de curta duração para expirar após um por hora. Em seguida, você remove o secret mais antigo usado pelo período depois que novas solicitações forem exibidas aos usuários por uma ou mais horas.
Antes de remover um secret não utilizado, verifique se ele não está referenciado ou buscado
assinar solicitações de usuários no servidor de aplicativos. Remoção prematura de uma chave secreta
de um conjunto de chaves impede que o Media CDN valide as solicitações
associados a ele. Os usuários afetados recebem uma resposta HTTP 403
Forbidden.
Otimizar o desempenho, a confiabilidade e o custo de acessos simultâneos Secret Manager, as chaves secretas da chave de validação compartilhada são armazenadas uma hora. O armazenamento em cache de um secret pode resultar em acesso contínuo ao token excluídos do Secret Manager por até uma hora.
Como prática recomendada, faça a rotação das chaves regularmente.
Limitações conhecidas
O Media CDN rejeita solicitações assinadas com o formato
assinaturas usadas pelo Cloud CDN com uma resposta HTTP 403.
Atualmente, o Media CDN oferece suporte a chaves simétricas com solicitações que usam
o formato de token e as chaves referenciadas pelo Media CDN.
As chaves assimétricas precisam ser geradas como pares Ed25519, com uma uma chave privada e uma pública de 256 bits (32 bytes). O A biblioteca do Tink tem suporte para geração de chaves, assinatura e validação de assinaturas Ed25519 com C++, Go, Java e Objective-C.
As chaves assimétricas precisam ter as seguintes características:
Ser codificada em base64 com comprimento de 44 bytes (preenchidos) ou 43 bytes (sem padding). As formas com e sem padding de base64 são aceitas.
A chave pública precisa ser codificada no formato base64 seguro para URL. A chave privada pode ser codificada em formato base64 padrão.
Ter uma chave privada correspondente.