O Media CDN usa pares de chaves criptográficas ao assinar solicitações. O Media CDN usa um conjunto de chaves para armazenar pares de chaves que são usados ativamente para assinar solicitações. É possível ter até três chaves públicas e três chaves compartilhadas de validação, totalizando seis chaves por conjunto de chaves.
Também é possível remover chaves não usadas de um conjunto de chaves. Adicionar e remover uma chave é normalmente chamado de rotação de segredo. A rotação de segredos permite fazer o seguinte:
- Adicione novos segredos a um conjunto de chaves de forma segura anexando-os a ele.
- Gere tokens com a chave secreta correspondente.
Remova segredos antigos depois que o token mais antigo expirar.
Por exemplo, digamos que você definiu seus tokens de curta duração para expirarem após um por hora. Em seguida, você remove o secret mais antigo usado pelo período depois que novas solicitações forem exibidas aos usuários por uma ou mais horas.
Antes de remover um secret não utilizado, verifique se ele não está referenciado ou buscado
assinar solicitações de usuários no servidor de aplicativos. Remoção prematura de uma chave secreta
de um conjunto de chaves impede que o Media CDN valide as solicitações
associados a ele. Os usuários afetados recebem uma resposta HTTP 403
Forbidden.
Para otimizar a performance, a confiabilidade e o custo de acessos simultâneos ao Secret Manager, os segredos de chave de validação compartilhados são armazenados em cache por até uma hora. O armazenamento em cache de segredos pode resultar no acesso contínuo de tokens depois que um secret é excluído do Secret Manager por até uma hora.
Como prática recomendada, alterne as chaves regularmente.
Limitações conhecidas
O Media CDN rejeita solicitações assinadas com o formato
assinaturas usadas pelo Cloud CDN com uma resposta HTTP 403.
No momento, o Media CDN oferece suporte a chaves simétricas com solicitações que usam
o formato de token e as chaves referenciadas pelo Media CDN.
As chaves assimétricas precisam ser geradas como pares Ed25519, com uma uma chave privada e uma pública de 256 bits (32 bytes). O A biblioteca do Tink tem suporte para geração de chaves, assinatura e validação de assinaturas Ed25519 com C++, Go, Java e Objective-C.
As chaves assimétricas precisam ter as seguintes características:
Ser codificado em base64 com um comprimento de 44 bytes (com padding) ou 43 bytes (sem padding). As formas com e sem padding de base64 são aceitas.
A chave pública precisa ser codificada no formato base64 seguro para URL. A chave privada pode ser codificada em formato base64 padrão.
Ter uma chave privada correspondente.