Evita la distribución no autorizada

En esta página, se describen en resumen las opciones que proporciona Media CDN para evitar la distribución no autorizada de tu contenido.

Media CDN admite varias opciones de solicitudes firmadas para ayudar a proteger la distribución no autorizada de su contenido. Un token es un medio de intercambio solicitudes firmadas, como una cookie firmada, un URI con parámetros de consulta o una ruta este componente. Los tokens válidos que presentan los visualizadores se usan para autenticar el acceso a tu contenido. Se impide que un usuario tenga un token no válido o le falta un token accedan a tu contenido.

Media CDN ofrece las siguientes opciones de solicitudes firmadas para clientes autenticación:

• Firmas: Media CDN usa una sola firma para ayudar a proteger el contenido.

• Tokens: Media CDN usa tokens para ayudar a proteger el contenido. Tú puedes optar por la autenticación de token único o de token doble.

  Cuando se usa la autenticación de token doble, Media CDN usa dos de corta duración y de larga duración para ayudar a proteger el contenido.

Las firmas te permiten llevar a cabo una firma de URL completa, incluidos el host y el protocolo.

Los tokens ofrecen las siguientes funciones:

• Compatibilidad con CDN que no sean de Google
• Firma de solo ruta de acceso
• Capacidad de firmar más de un encabezado
• Capacidad de incorporar ID de sesión y datos arbitrarios

Recomendamos tokens para integraciones nuevas. Los tokens son obligatorios para el token doble la autenticación de varios factores.

Puedes usar solicitudes firmadas y solicitudes de autenticación de token doble en conjunto para ayudan a proteger tu contenido.

Cómo funcionan las solicitudes firmadas

Una solicitud firmada usa firmas o tokens para verificar que los visualizadores estén autenticados a fin de acceder al contenido. Puedes configurar Media CDN para que el acceso tiene alcance en cualquiera de los siguientes casos:

• Un URI exacto o un prefijo de URI por un tiempo limitado
• Un cliente específico
• Para solicitudes firmadas que usan tokens, hasta cinco rutas con comodines

Si quieres usar solicitudes firmadas, debes generar claves para firmar y verificar firmas. Tú Luego, configura las rutas que te permiten optimizar el comportamiento según el tipo de los atributos de cliente y los requisitos de actualización. Las solicitudes firmadas pueden se aplicarán por ruta, lo que ayuda a proteger endpoints específicos.

Cada servicio de Media CDN puede usar un conjunto de varias claves. La colección de claves también se conoce como conjunto de claves. Los conjuntos de claves te permiten rotar claves y distribuir claves privadas en tu propia infraestructura sin interrupción.

Puedes configurar Media CDN para usar solicitudes firmadas tokens que ayudan a proteger el contenido.

Para las solicitudes firmadas con firmas, puedes usar cualquiera de los siguientes formatos:

• Un URI exacto con parámetros de consulta: Debes especificar un URLPrefix con el URI exacto y adjuntar los mismos parámetros de consulta a varios URI.
• Un prefijo de URI con parámetros de consulta: Debes especificar un URLPrefix con un prefijo de URI y anexar los mismos parámetros de consulta a varios URI.
• Un componente de ruta de acceso: Especificas un componente de ruta de acceso, que permite que los Los URIs del manifiesto heredan el componente del URI firmado.
• Una cookie firmada: debes especificar un prefijo de URI en una cookie, lo que permite acceso a cualquier URI con el prefijo que especificaste.

Para obtener más información, consulta Genera firmas.

Para las solicitudes firmadas que usan tokens, puedes colocar el token en cualquiera de las siguientes opciones:

• En el parámetro de consulta que elijas
• En una galleta

Para obtener más información, consulta Genera tokens.

Cómo funciona la autenticación de doble token

La autenticación de token doble usa dos tokens para autenticar las solicitudes a tu contenido: un token de corta duración para el inicio de la reproducción y un token de larga duración token por el resto de la sesión de reproducción.

Para utilizar la autenticación de token doble, configura el servidor de aplicaciones para que emitir tokens de corta duración a usuarios-agentes. Luego, configuras Media CDN para responder a los tokens de corta duración. Puedes colocar el token en un parámetro de consulta de tu elección o colocar una clave en una cookie. Para obtener más información, consulta Usa la autenticación de token doble.

Los tokens de corta duración que genera el servidor de aplicaciones ayudan a proteger la instancia principal (a veces llamados listas de reproducción multivariantes). El vencimiento de la solicitud firmada es lo suficientemente corto como para solicitar un manifiesto principal, pero no ver todo el contenido que se encuentra en un manifiesto.

Cuando Media CDN recibe una solicitud con una duración corta autorizada token, genera un token de larga duración firmado. Puedes usar el token en en un parámetro de consulta con un solo nombre o en una cookie. El token de larga duración permite ver un programa completo. Los tokens de larga duración firmados generadas por Media CDN usan firmas Ed25519 que están firmadas con claves administradas por Google asociadas Recurso EdgeCacheKeyset.

Puedes personalizar el tiempo de vencimiento de los tokens de corta y larga duración. Como práctica recomendada, te sugerimos configurar el tiempo de vencimiento de tokens de corta duración generados en el servidor de tu aplicación a un minuto. Tú debes establecer la fecha de vencimiento de los tokens de larga duración que Media CDN genera con una duración mayor que la longitud del contenido, hasta un máximo de uno día.

Flujo de solicitudes para la autenticación de token doble

A continuación, se describe el flujo de la solicitud:

1. Un visualizar solicita metadatos del servidor de tu aplicación para ver los medios que quiere ver. El servidor de tu aplicación devuelve el URI del manifiesto principal. firmado con un token de corta duración.

2. Tu aplicación de reproductor solicita el manifiesto principal a Media CDN. La solicitud incluye el token de corta duración como un de un parámetro de consulta de URI en el formato de parámetro de consulta con un solo nombre.

3. Media CDN verifica el token de corta duración y el parámetros firmados.

   1. Si el token es válido, Media CDN crea una red de larga duración token de firma. Media CDN muestra el token en un encabezado Set-Cookie o mediante la modificación de los URI del manifiesto y del segmento en el manifiesto principal para incluir el token.
   2. Si el token no es válido, Media CDN responde con un Respuesta HTTP 403 Forbidden.

4. La aplicación del reproductor recibe el manifiesto principal de Media CDN y, luego, solicita la playlist de contenido multimedia o el archivo multimedia a los que se hace referencia en el manifiesto principal. La solicitud debe incluir los un token de larga duración, ya sea como una cookie firmada o como un parámetro de URI.

5. Media CDN verifica el token de firma de larga duración:

   1. Si el token de larga duración es válido para la solicitud específica, Media CDN publica el contenido solicitado.
   2. Si el token de larga duración no es válido (debido a un token vencido o a una ruta no válida), Media CDN responde con una respuesta HTTP 403 Forbidden.

6. El proceso se repite hasta que finalice la reproducción de medios o la firma de larga duración.

Formatos de token compatibles para solicitudes firmadas de doble token

Las solicitudes firmadas de token doble de Media CDN admiten varios formatos según el tipo de token.

Solicitudes firmadas de corta duración

Media CDN admite tokens firmados con firmas Ed25519 de forma predeterminada para las solicitudes firmadas de corta duración. También puedes usar los códigos de autenticación de mensajes basados en hash (HMAC) de clave simétrica para la compatibilidad con el código existente de la aplicación y otras CDN.

Para usar HMAC, usa Secret Manager para almacenar el secreto HMAC. Luego, otorgas acceso a la Media CDN la cuenta de servicio para acceder al Secret almacenado. Como práctica recomendada, sugerimos usando firmas asimétricas con firmas Ed25519 por motivos de seguridad y rendimiento.

La cuenta de servicio de Media CDN pertenece al proyecto de Media CDN y no aparece en la lista de cuentas de servicio. La cuenta de servicio otorga acceso solo a Recursos de Media CDN en los proyectos que permitas de forma explícita

La cuenta de servicio tiene el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

En el ejemplo anterior, PROJECT_NUMBER es el número del proyecto.

Para activar la cuenta de servicio de Media CDN del servicio, crea al menos un recurso de Media CDN, como EdgeCacheOrigin.

Solicitudes firmadas de larga duración

Para solicitudes firmadas de larga duración, Media CDN usa Ed25519. firmas que se firman con claves administradas por Google asociadas con un Recurso EdgeCacheKeyset.

Media CDN admite un formato de token único para tokens de larga duración que se puede usar en un parámetro de consulta con un solo nombre para transmisiones HLS en una galleta.

Consideraciones

En las siguientes secciones, se analizan los siguientes elementos:

• Límites de URI
• Dispositivos heredados
• Cumplimiento del consentimiento y la privacidad
• Facturación

Límites de URI

La mayoría de los clientes HTTP modernos admiten URI de hasta 8,000 caracteres. Sin embargo, algunos Es posible que los dispositivos heredados o de nicho tengan límites más estrictos. En general, un URI firmado agrega aproximadamente 125 caracteres al URI de solicitud, que incluyen lo siguiente:

• Si se usan todos los nombres de campo, aproximadamente 67 caracteres para cada campo (como Expires= y KeyName=).
• Para la marca de tiempo Unix, 10 caracteres
• Para KeyName, cinco caracteres
• Para el valor Signature codificado en base64, 43 caracteres

Como práctica recomendada, usa una consulta para mantener los URIs de menos de 2,000 caracteres parámetros como tokens. Los URI más cortos evitan que los dispositivos envíen URIs truncados a Media CDN.

Dispositivos de transmisión de video por Internet heredados

Es posible que algunos dispositivos heredados de transmisión de video por Internet no admitan completamente la conexión de cookies a o solicitudes de segmentos multimedia. Si tienes dispositivos con problemas conocidos que controlan las cookies HTTP, configura Media CDN a fin de que use parámetros de consulta para intercambio de doble token y solicitudes firmadas.

Cumplimiento de consentimientos y privacidad

Eres el único responsable del consentimiento y el cumplimiento de la privacidad que se requiera cuando usando cookies para intercambiar tokens de corta duración. Cuando Media CDN se configura con el fin de usar solicitudes firmadas de doble token, Google emite y administra las cookies que se usan para tokens de larga duración.

Facturación

Si deseas obtener más información sobre la facturación de Secret Manager, consulta Precios.

Las recuperaciones de Secrets de Media CDN se almacenan en caché de forma interna, y reduce la tasa de recuperación de Secrets desde Secret Manager. Las recuperaciones reducidas también reducen las tasas de acceso que Secret Manager observa y factura.

Para obtener más información sobre el almacenamiento en caché de Secret en Media CDN, consulta Descripción general de las claves.