Impedire la distribuzione non autorizzata

In questa pagina vengono descritte brevemente le opzioni offerte da Media CDN per impedire la distribuzione non autorizzata dei contenuti.

Media CDN supporta più opzioni di richieste firmate per proteggere la distribuzione non autorizzata dei tuoi contenuti. Un token è un mezzo di scambio richieste con firma, ad esempio un cookie firmato, un URI con parametri di ricerca o un percorso di strumento di authoring. Vengono utilizzati token validi presentati dai visualizzatori per autenticare l'accesso a i tuoi contenuti. Un visualizzatore con un token non valido o un token mancante viene impedito di accedere ai tuoi contenuti.

Media CDN offre le seguenti opzioni di richiesta firmata per il client autenticazione:

• Firme: Media CDN utilizza una singola firma per aiutarti per proteggere i contenuti.

• Token: Media CDN utilizza token per proteggere i contenuti. Tu puoi scegliere di utilizzare l'autenticazione con token singolo o con doppio token.

  Quando si utilizza l'autenticazione con doppio token, Media CDN utilizza due di breve durata e di lunga durata, per contribuire a proteggere i contenuti.

Le firme ti consentono di firmare l'URL completo, inclusi host e protocollo.

I token offrono le seguenti funzionalità:

• Compatibilità con CDN non Google
• Firma solo del percorso
• Possibilità di firmare più di un'intestazione
• Possibilità di incorporare dati arbitrari e ID di sessione

Ti consigliamo i token per le nuove integrazioni. I token sono necessari per il doppio token autenticazione.

Puoi utilizzare le richieste firmate e le richieste di autenticazione con doppio token insieme per proteggere meglio i tuoi contenuti.

Come funzionano le richieste firmate

Una richiesta firmata utilizza firme o token per verificare che ogni visualizzatore sia autenticati per accedere ai contenuti. Puoi configurare Media CDN in modo che che l'accesso sia limitato a uno qualsiasi dei seguenti elementi:

• Un URI esatto o un prefisso URI per un periodo di tempo limitato
• Un cliente specifico
• Per le richieste con firma utilizzando token, fino a cinque percorsi con caratteri jolly

Per utilizzare le richieste firmate, generi chiavi per firmare e verificare le firme. Tu e poi configurare le route, che ti consentono di ottimizzare il comportamento in base al tipo contenuti, attributi client e requisiti di aggiornamento. Le richieste firmate possono essere applicate a livello di singola route, il che aiuta a proteggere endpoint specifici.

Ogni servizio Media CDN può utilizzare una raccolta di più chiavi. La raccolta di chiavi è nota anche come set di chiavi. I set di chiavi ti consentono ruotare le chiavi e distribuire le chiavi private all'interno della tua infrastruttura senza un'interruzione del servizio.

Puoi configurare Media CDN in modo che utilizzi richieste firmate per proteggere i contenuti.

Per le richieste firmate che utilizzano le firme, puoi usare uno qualsiasi dei seguenti formati:

• Un URI esatto con i parametri di query: devi specificare un URLPrefix con l'URI esatto e aggiungere gli stessi parametri di ricerca a più URI.
• Un prefisso URI con parametri di query: devi specificare un URLPrefix con un URI e aggiunge gli stessi parametri di ricerca a più URI.
• Un componente del percorso: specifichi un componente del percorso, che consente di effettuare la relativa gli URI manifest ereditano il componente URI firmato.
• Un cookie firmato: specifichi un prefisso URI in un cookie, che consente l'accesso a qualsiasi URI con il prefisso specificato.

Per saperne di più, consulta Generare firme.

Per le richieste firmate utilizzando i token, puoi inserire il token in uno dei due seguenti:

• In un parametro di query di tua scelta
• In un cookie

Per ulteriori informazioni, consulta la sezione Generare token.

Come funziona l'autenticazione con doppio token

L'autenticazione con doppio token utilizza due token per autenticare le richieste al tuo content: un token di breve durata per l'avvio della riproduzione e un token di lunga durata per il resto della sessione di riproduzione.

Per utilizzare l'autenticazione con doppio token, devi configurare il server delle applicazioni in modo da: emettono token di breve durata agli user agent. Poi devi configurare Media CDN per rispondere ai token di breve durata. Puoi inserire il token in un parametro di query di tua scelta oppure inserire il token in un cookie. Per ulteriori informazioni, vedi Utilizzare l'autenticazione con doppio token.

I token di breve durata generati dal server delle applicazioni aiutano a proteggere i token (a volte chiamate playlist multivariante). La della richiesta firmata è sufficientemente breve da richiedere un manifest principale, ma non per guardare tutti i contenuti di un file manifest.

Quando Media CDN riceve una richiesta con un'autorizzazione di breve durata viene generato un token di lunga durata firmato. Puoi utilizzare il token in parametro di query con un singolo nome o in un cookie. Il token di lunga durata supporta la visualizzazione di un programma completo. I token di lunga durata firmati generate da Media CDN, usano le firme Ed25519 firmate Le chiavi gestite da Google associate a un token EdgeCacheKeyset risorsa.

Puoi personalizzare la scadenza dei token di breve e lunga durata. Come best practice, ti consigliamo di configurare la scadenza di breve durata generati sul server delle applicazioni a un minuto. Tu deve impostare la scadenza dei token di lunga durata che Media CDN vengono generate per una durata superiore a quella dei contenuti, fino a un massimo di uno giorno.

Flusso di richiesta per l'autenticazione con doppio token

Di seguito viene descritto il flusso di richieste:

1. Un visualizzatore richiede al tuo server delle applicazioni i metadati per i contenuti multimediali che desidera da visualizzare. Il server delle applicazioni restituisce l'URI del manifest principale firmato con un token di breve durata.

2. L'applicazione del player richiede il file manifest principale da Media CDN. La richiesta include il token di breve durata come di un parametro di query URI nel formato del parametro di query con nome singolo.

3. Media CDN verifica il token di breve durata e la con i parametri firmati.

   1. Se il token è valido, Media CDN crea una durata token di firma. Media CDN restituisce il token in una Set-Cookie o modificando gli URI manifest e segmento nel manifest principale per includere il token.
   2. Se il token non è valido, Media CDN risponde con un Risposta HTTP 403 Forbidden.

4. L'applicazione player riceve il manifest principale Media CDN, quindi richiede la playlist o i contenuti multimediali. segmenti a cui viene fatto riferimento nel manifest principale. La richiesta deve includere i campi token di lunga durata, come cookie firmato o come parametro URI.

5. Media CDN verifica il token di firma di lunga durata:

   1. Se il token di lunga durata è valido per la richiesta specifica, Media CDN gestisce i contenuti richiesti.
   2. Se il token di lunga durata non è valido (a causa di un token scaduto o un percorso non valido), Media CDN risponde con una Risposta HTTP 403 Forbidden.

6. Il processo si ripete fino al termine della riproduzione di contenuti multimediali o alla firma di lunga durata scade.

Formati di token supportati per le richieste con firma con doppio token

Le richieste con firma con doppio token di Media CDN supportano più formati, a seconda del tipo di token.

Richieste con firma di breve durata

Per le richieste con firma di breve durata, Media CDN supporta i token firmati con le firme Ed25519 per impostazione predefinita. Puoi anche utilizzare Codici di autenticazione dei messaggi basati su hash (simmetrica hash) per la compatibilità con il codice dell'applicazione esistente e altre reti CDN.

Per usare gli HMAC, devi usare Secret Manager. per archiviare il secret HMAC. Quindi concedi l'accesso a Media CDN per accedere al secret archiviato. Come best practice, ti consigliamo utilizzando la firma asimmetrica con firme Ed25519 per garantire sicurezza e prestazioni.

L'account di servizio Media CDN è di proprietà del Media CDN e non viene visualizzato nell'elenco di account di servizio. L'account di servizio concede l'accesso solo a Risorse Media CDN nei progetti consentiti in modo esplicito.

L'account di servizio ha il seguente formato:

service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

Dove PROJECT_NUMBER è il numero del tuo progetto.

Per attivare l'account di servizio Media CDN, crea almeno una risorsa Media CDN, ad esempio EdgeCacheOrigin.

Richieste con firma di lunga durata

Per le richieste con firma di lunga durata, Media CDN utilizza Ed25519. firme firmate con chiavi gestite da Google associate a un EdgeCacheKeyset risorsa.

Media CDN supporta un formato a token singolo per token di lunga durata, che può essere utilizzato in un parametro di query con nome singolo per i flussi HLS in un cookie.

Considerazioni

Le seguenti sezioni si occupano di argomenti quali:

• Limiti URI
• Dispositivi legacy
• Consenso e conformità alla privacy
• Fatturazione

Limiti URI

La maggior parte dei client HTTP moderni supporta URI di massimo 8000 caratteri. Tuttavia, alcune i dispositivi legacy o di nicchia potrebbero avere limiti più rigidi. In generale, un URI firmato aggiunge circa 125 caratteri per l'URI della richiesta, che include quanto segue:

• Se vengono utilizzati tutti i nomi di campo, sono necessari circa 67 caratteri per ogni campo (ad esempio Expires= e KeyName=).
• Per il timestamp Unix, 10 caratteri
• Per KeyName, cinque caratteri
• Per il valore Signature con codifica Base64, 43 caratteri

Come best practice, utilizza la query per mantenere gli URI con una lunghezza inferiore a 2000 caratteri come token. Gli URI più brevi impediscono ai dispositivi di inviare URI troncati a Media CDN.

Dispositivi di streaming video legacy

Alcuni dispositivi di streaming video precedenti potrebbero non supportare completamente il collegamento dei cookie a da richieste di file manifest o segmenti multimediali. Se hai dispositivi con problemi noti gestione dei cookie HTTP, configura Media CDN per l'utilizzo parametri di ricerca per le richieste con firma e lo scambio con doppio token.

Consenso e conformità alla privacy

Sei l'unico responsabile del consenso e della conformità alla privacy richiesti quando usando i cookie per scambiare token di breve durata. Se Media CDN configurate per l'utilizzo di richieste con doppio token, Google emette e gestisce i cookie usati per i token di lunga durata.

Fatturazione

Per scoprire di più su come Secret Manager viene fatturato, consulta la sezione Prezzi.

I recuperi di Media CDN per i secret vengono memorizzati internamente nella cache, in modo significativo riducendo la frequenza dei recuperi dei secret da Secret Manager. Lo stato i recuperi riducono significativamente le percentuali di accessi Secret Manager ti osserva e ti fattura.

Per ulteriori informazioni sulla memorizzazione nella cache dei secret in Media CDN, consulta Panoramica dei tasti.