Dual-Token-Authentifizierung verwenden

Wenn du die Zwei-Token-Authentifizierung erzwingen möchtest, wenn Zuschauer auf eine Streamingressource zugreifen, musst du separate Routen konfigurieren. Eine Route ist eine Konfiguration, die Anfragen an Media CDN abgleicht und HTTP-Traffic an einen Ursprung weiterleitet. Media CDN unterstützt Routen für Ressourcen für HTTP Live Streaming (HLS) oder Dynamic Adaptive Streaming over HTTP (DASH). Weitere Informationen zu Routen in Media CDN findest du unter Dienstrouten konfigurieren.

Für HLS-Streams unterstützt Media CDN die Zwei-Token-Authentifizierung über Cookies und URL-Abfrageparameter (ohne Cookies). Für DASH-Streams unterstützt Media CDN nur die cookiebasierte Dual-Token-Authentifizierung.

Auf dieser Seite wird beschrieben, wie du Media CDN-Routen konfigurierst, um Inhalte mithilfe der Dual-Token-Authentifizierung zu schützen.

Hinweise

Gehen Sie dazu so vor:

  1. Wählen Sie für Tokens mit kurzer Gültigkeitsdauer einen der folgenden Signaturalgorithmen aus:

    • Ed25519-Signaturen
    • Hash-basierte Nachrichtenauthentifizierungscodes (HMACs) mit Symmetrieschlüsseln

    Sie können symmetrische HMAC-Signaturalgorithmen nur für Routen aktivieren, die zum Generieren neuer Tokens mit langer Gültigkeit konfiguriert sind. Wir empfehlen, Ed25519-Signaturen für optimale Leistung und Sicherheit zu verwenden und HMACs mit Symmetrieschlüsseln nur dann, wenn dies für die Kompatibilität mit anderen CDNs erforderlich ist.

  2. Fügen Sie die erforderlichen Schlüssel in eine EdgeCacheKeyset-Ressource ein.

    Tokens müssen mit Schlüsseln in einer EdgeCacheKeyset-Ressource signiert oder bestätigt werden. Der Schlüsselsatz muss die richtigen Schlüssel für den ausgewählten Signaturalgorithmus enthalten. In der folgenden Tabelle werden die einzelnen Signaturalgorithmen und die erforderlichen Schlüssel beschrieben.

    Signaturalgorithmus Erforderliche Schlüssel im Schlüsselsatz
    Ed25519 Öffentliche Schlüssel
    HMAC-SHA1 Freigegebene Validierungsschlüssel
    HMAC-SHA256 Freigegebene Validierungsschlüssel

    Als Best Practice sollten Sie zwei separate Schlüsselsätze erstellen, einen für Tokens mit kurzer Gültigkeitsdauer und einen für Tokens mit langer Gültigkeitsdauer.

    Wenn du jedoch DASH- und MPD-Dateien (Dynamic Media Presentation Description) verwendest, musst du für Token mit langer und kurzer Dauer dasselbe Schlüsselset verwenden.

  3. Wählen Sie für Tokens mit langer Gültigkeitsdauer eines der folgenden Tokenformate aus:

    • Cookies
    • URL-Suchparameter

Tokens mit kurzer Gültigkeitsdauer einrichten

Je nach dem zu verwendenden Signaturalgorithmus können Sie mit einer der folgenden Optionen Tokens mit kurzer Gültigkeitsdauer einrichten.

Ed25519-Signatur

  1. Generieren Sie einen privaten Schlüssel:

    openssl genpkey -algorithm ed25519 -outform PEM -out SSL_KEY_NAME.private.key

    Ersetzen Sie SSL_KEY_NAME durch einen Schlüsselnamen.

  2. Generieren Sie einen öffentlichen Schlüssel aus dem privaten Schlüssel:

    openssl pkey -outform DER -pubout -in SSL_KEY_NAME.private.key |\
tail -c +13 |\
python3 -c "import base64, sys; print(('%s' % base64.urlsafe_b64encode(sys.stdin.buffer.read()))[2:-1])"

  3. So erstellen Sie einen neuen Schlüsselsatz mit einem einzelnen öffentlichen Schlüssel:

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

      Zum Media CDN

    2. Klicken Sie auf den Tab Schlüsselsätze.

    3. Klicke auf Schlüsselsatz erstellen.

    4. Geben Sie unter Name einen eindeutigen Namen für das Schlüsselset ein.

    5. Optional: Geben Sie unter Beschreibung eine Beschreibung für den Schlüsselsatz ein.

    6. Optional: Klicken Sie auf Label hinzufügen und geben Sie dann ein oder mehrere Schlüssel/Wert-Paare für Ihren Schlüsselsatz ein.

    7. Klicken Sie auf Öffentlichen Schlüssel hinzufügen und gehen Sie dann so vor:

      1. Geben Sie unter ID eine alphanumerische ID ein.
      2. Wählen Sie Wert eingeben aus und geben Sie dann den base64-codierten Wert Ihres öffentlichen Ed25519-Schlüssels an.

    8. Klicken Sie auf Schlüsselsatz erstellen.

    gcloud

    Führen Sie den Befehl gcloud edge-cache keysets create aus.

    gcloud edge-cache keysets create SHORT_KEYSET_NAME \
  --public-key='id=SSL_PUBLIC_KEY_NAME,value=SSL_PUBLIC_KEY_VALUE'

    Ersetzen Sie Folgendes:

    • SHORT_KEYSET_NAME: ein eindeutiger Name für das Schlüsselset, z. B. prod-vod-keyset
    • SSL_PUBLIC_KEY_NAME: der Name Ihres öffentlichen SSL-Schlüssels
    • SSL_PUBLIC_KEY_VALUE: der Wert Ihres öffentlichen SSL-Schlüssels

    Mit dem Befehl gcloud edge-cache keysets describe können Sie die mit dem Schlüsselsatz verknüpften Schlüssel aufrufen.

    gcloud edge-cache keysets describe prod-vod-keyset

    Die Ausgabe sieht in etwa so aus:

    name: prod-vod-keyset
description: "Keyset for prod.example.com"
publicKeys:
- id: "key-20200918"
  value: "DThVLjhAKm3VYOvLBAwFZ5XbjVyF98Ias8NZU0WEM9w"
- id: "key-20200808"
  value: "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA="

    Terraform 

    resource "google_network_services_edge_cache_keyset" "default" {
  name        = "prod-vod-keyset"
  description = "Keyset for prod.example.com"
  public_key {
    id    = "key-20200918"
    value = "FHsTyFHNmvNpw4o7-rp-M1yqMyBF8vXSBRkZtkQ0RKY" # Update Ed25519 public key
  }
  public_key {
    id    = "key-20200808"
    value = "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA=" # Update Ed25519 public key
  }
}

HMAC mit symmetrischem Schlüssel

  1. Wenn Sie Secret Manager noch nicht verwendet haben, konfigurieren Sie Secret Manager.

  2. Erstellen Sie ein Secret.

  3. Fügen Sie eine Secret-Version im Binärformat hinzu.

  4. Weisen Sie dem Media CDN-Dienstkonto die Rolle „Secret Manager-Zugriff“ (roles/secretmanager.secretAccessor) zu:

    Console

    1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

      Zu Secret Manager

    2. Klicken Sie das Kästchen neben dem Namen des Secrets an.

    3. Klicken Sie auf Infofeld anzeigen.

    4. Klicken Sie im Infofeld auf Hauptkonto hinzufügen.

    5. Geben Sie unter Neue Hauptkonten das Media CDN-Dienstkonto in diesem Format ein:

      service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com

      Ersetzen Sie PROJECT_NUMBER durch die Projektnummer.

    6. Wählen Sie unter Rolle auswählen die Option Secret Manager und dann Zugriffsperson für Secret Manager-Secret aus.

    gcloud

    gcloud secrets add-iam-policy-binding-Befehl ausführen

    gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \
  --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \
  --role="roles/secretmanager.secretAccessor"

    Ersetzen Sie Folgendes:

    • PROJECT_NUMBER: Ihre Projektnummer
    • SECRET_ID: die ID des Secrets

  5. Rufen Sie Ihre Secret-Versionen auf und kopieren Sie die Secret-Pfade einschließlich der Versionsnummern.

  6. Erstellen Sie einen neuen Schlüsselsatz mit den freigegebenen Geheimnissen in einem freigegebenen Validierungsschlüssel:

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

      Zum Media CDN

    2. Klicken Sie auf den Tab Schlüsselsätze.

    3. Klicke auf Schlüsselsatz erstellen.

    4. Geben Sie unter Name einen eindeutigen Namen für das Schlüsselset ein.

    5. Optional: Geben Sie unter Beschreibung eine Beschreibung für den Schlüsselsatz ein.

    6. Optional: Klicken Sie auf Label hinzufügen und geben Sie dann ein oder mehrere Schlüssel/Wert-Paare für Ihren Schlüsselsatz ein.

    7. Wenn Sie einen freigegebenen Validierungsschlüssel angeben möchten, klicken Sie auf Freigegebenen Validierungsschlüssel hinzufügen und gehen Sie dann so vor:

      1. Wählen Sie unter Secret ein Secret aus der Liste aus, geben Sie ein Secret manuell ein, indem Sie die Ressourcen-ID angeben, oder erstellen Sie ein neues Secret und wählen Sie es dann aus.

      2. Wählen Sie unter Secret-Version eine Version aus der Liste aus oder erstellen Sie eine neue Secret-Version und wählen Sie sie aus.

    8. Klicken Sie auf Schlüsselsatz erstellen.

    gcloud

    Führen Sie den Befehl gcloud edge-cache keysets create aus.

    gcloud edge-cache keysets create SHORT_KEYSET_NAME \
  --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION'

    Ersetzen Sie Folgendes:

    • SHORT_KEYSET_NAME: ein eindeutiger Name für das Schlüsselset, z. B. prod-vod-keyset
    • PROJECT_NUMBER: Ihre Projekt-ID.
    • SECRET_ID: die Ressourcen-ID des Secrets
    • KEY_VERSION: die Version des Geheimnisses, die Sie verwenden möchten

Langzeit-Tokens einrichten

Von Google verwaltete Schlüssel sind auf Schlüsselsätze beschränkt. Das bedeutet, dass zwei verschiedene Schlüsselsätze unterschiedliche von Google verwaltete Schlüssel haben. Von Google verwaltete Schlüssel werden regelmäßig rotiert.

Sie haben folgende Möglichkeiten, Tokens mit langer Gültigkeitsdauer einzurichten:

Console

  1. Schlüsselsatz erstellen oder ändern

  2. Wählen Sie im Abschnitt Schlüssel die Option Von Google verwalteten Schlüssel für Dual-Token-Authentifizierung verwenden aus.

gcloud und YAML

Verwenden Sie eine der folgenden Optionen:

  • So erstellen Sie einen von Google verwalteten Signaturschlüssel:

    gcloud edge-cache keysets create LONG_KEYSET_NAME \
    --public-key='id=google-managed-key,managed=true'

    Ersetzen Sie LONG_KEYSET_NAME durch einen Schlüsselnamen, z. B. prod-vod-keyset-long.

  • So ändern Sie ein vorhandenes Schlüsselset:

    1. Exportieren Sie den Schlüsselsatz in eine YAML-Datei. Führen Sie den Befehl gcloud edge-cache keysets export aus.

      gcloud edge-cache keysets export LONG_KEYSET_NAME \
   --destination=prod-vod-keyset-long.yaml

    2. Bearbeiten Sie die Keyset-Konfiguration in einem Texteditor oder in Ihrem Tool zur Konfigurationsverwaltung so, dass sie in etwa so aussieht:

      name: projects/my-project/locations/global/edgeCacheKeysets/LONG_KEYSET_NAME
publicKeys:
- id: some-key
  value: MC4CAQAwBQYDK2VwBCIEINV2iYugIWBuvGBJUQ_Ab69E4v4zcVqvgYHw-iZxGzcd
- id: google-managed-key
  managed: true

    3. Importieren Sie das bearbeitete Schlüsselset. Führen Sie den Befehl gcloud edge-cache keysets import aus:

      gcloud edge-cache keysets import LONG_KEYSET_NAME \
    --source=prod-vod-keyset-long.yaml

Sie können dem Schlüsselsatz für Tokens mit langer Gültigkeitsdauer weitere öffentliche Schlüssel hinzufügen. Der Schlüsselsatz darf maximal drei öffentliche Schlüssel enthalten. In der Praxis bedeutet das, dass der Schlüsselsatz zwei von Nutzern verwaltete Schlüssel und einen von Google verwalteten Schlüssel enthalten kann.

In Media CDN wird immer der von Google verwaltete Schlüssel zum Generieren von Tokens verwendet. Die vom Nutzer verwalteten Schlüssel können nur zur Bestätigung verwendet werden.

Wenn du zusätzliche öffentliche Schlüssel angibst, kann deine Player-Anwendung mithilfe von signierten Anfragen, die mit deinen eigenen privaten Schlüsseln generiert werden, auf Medienplaylists und Mediensegmente zugreifen.

Token-Austausch konfigurieren

In diesem Abschnitt wird gezeigt, wie Sie den Token-Austausch konfigurieren, indem Sie mehrere Routen erstellen. Mit einer Route können Sie das Verhalten basierend auf dem Inhaltstyp, den Clientattributen und Ihren Aktualitätsanforderungen optimieren. In den folgenden Beispielen verwenden wir Routen, um den Token-Austausch für jeden Teil einer Medienanfrage zu konfigurieren.

Primäre Manifestroute so konfigurieren, dass Kurzzeit-Tokens erforderlich sind

Konfiguriere Media CDN so, dass für die primäre Manifest-Route Kurzzeit-Tokens erforderlich sind.

Console

Aktiviere die Tokenauthentifizierung mit kurzer Gültigkeitsdauer für die primäre Manifestroute:

  1. Rufen Sie in der Google Cloud Console die Seite Media CDN auf.

    Zum Media CDN

  2. Klicken Sie auf den Namen eines Dienstes, um die Seite Details zu öffnen.

  3. Klicken Sie auf die Schaltfläche Bearbeiten, um in den Bearbeitungsmodus zu wechseln.

  4. Klicken Sie auf Weiter, um zum Abschnitt Routing zu gelangen.

  5. Maximieren Sie die Hostregel, der Sie die primäre Manifest-Wegregel hinzufügen möchten.

  6. Klicken Sie auf Weiterleitungsregel hinzufügen.

    Alternativ können Sie eine Routenregel bearbeiten, indem Sie in der entsprechenden Zeile auf Bearbeiten klicken.

  7. Legen Sie im Bereich Routenregel bearbeiten für Priorität einen Wert fest, z. B. 1.

  8. Geben Sie unter Beschreibung eine kurze Beschreibung ein, anhand derer sich die Regel in der Liste der Regeln leichter identifizieren lässt.

  9. Klicken Sie im Bereich Abgleich auf Abgleichbedingung hinzufügen. Führen Sie dann die folgenden Schritte aus:

    1. Wählen Sie unter Übereinstimmungstyp die Option Übereinstimmung mit Pfadvorlage aus.
    2. Gib unter Pfadübereinstimmung die Namen oder Pfadvorlagen für die primäre HLS-Playlist (M3U8) oder die DASH-Manifestdatei (MPD) an. Weitere Informationen finden Sie unter Pfadübereinstimmung.

  10. Klicken Sie auf Erweiterte Konfigurationen.

  11. Klicken Sie im Bereich Routenaktion auf Element hinzufügen.

  12. Wählen Sie für Typ die Option CDN-Richtlinie aus.

  13. Wählen Sie im Bereich Signierte Anfrage für Modus für signierte Anfrage die Option Tokens erforderlich machen aus.

  14. Führen Sie im Abschnitt Signed request keyset (Schlüsselsatz für signierte Anfragen) die folgenden Schritte aus:

    1. Wenn Sie das Schlüsselset für Kurzzeittokens angeben möchten, klicken Sie auf Schlüsselsatz auswählen und wählen Sie das Schlüsselset für Kurzzeittokens aus.

      Alternativ können Sie auf Neuen Schlüsselsatz erstellen klicken, um einen neuen Schlüsselsatz mit den erforderlichen Schlüsseln zu erstellen. Wählen Sie es dann aus.

    2. Wählen Sie als Signaturalgorithmus Ed25519 mit öffentlichen Schlüsseln aus.

    3. Behalten Sie für Abfrageparameter für Tokens den Standardwert edge-cache-token bei.

      Wenn du stattdessen URL-Suchparameter des HLS-Manifests anstelle von Cookies für die Authentifizierung verwenden möchtest, gib den Parameter an, in dem die Anfragetokens gespeichert werden sollen.

    4. Geben Sie unter Max. Gültigkeitsdauer die maximale Lebensdauer eingehender Anfragetokens in Sekunden an.

  15. Klicken Sie auf Fertig, um die Änderungen im Bereich Wegbewegungsaktion zu speichern.

  16. Klicken Sie auf Speichern, um die Änderungen an der Routenregel zu speichern.

gcloud und YAML

  1. Exportiere die Media CDN-Konfiguration in eine YAML-Datei. Führen Sie den Befehl gcloud edge-cache services export aus.

    gcloud edge-cache services export SERVICE_NAME \
    --destination=FILENAME.yaml

    Ersetzen Sie Folgendes:

    • SERVICE_NAME: der Name Ihres Dienstes
    • FILENAME : der Name der YAML-Datei

  2. Wenn Sie die Tokenauthentifizierung mit kurzer Gültigkeit in der primären Manifest-Routenregel aktivieren möchten, geben Sie in der YAML-Datei im Abschnitt cdnPolicy der Route eine signedTokensOptions-Konfiguration an.

      pathMatchers:
  - name: "ROUTE_NAME"
    routeRules:
    - priority: 1
      description: "ROUTE_DESCRIPTION"
      origin: "ORIGIN_NAME"
      matchRules:
      - pathTemplateMatch: "/MANIFEST_OR_PLAYLIST"
      routeAction:
        cdnPolicy:
          cacheMode: CACHE_ALL_STATIC
          signedRequestMode: REQUIRE_TOKENS
          signedRequestKeyset: SHORT_KEYSET_NAME
          signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
          signedTokenOptions:
            tokenQueryParameter: SHORT_TOKEN_NAME

    Ersetzen Sie Folgendes:

    • ROUTE_NAME: der Name der Routenregel
    • ROUTE_DESCRIPTION: eine Beschreibung der Routenregel
    • ORIGIN_NAME: der Name des Ursprungs
    • MANIFEST_OR_PLAYLIST: der Name der primären HLS-Playlist (M3U8) oder der DASH-Manifestdatei (MPD). Weitere Informationen finden Sie unter Pfadübereinstimmung.
    • SHORT_KEYSET_NAME: der Name des Schlüsselsatzes, der für Tokens mit kurzer Gültigkeit verwendet werden soll
    • SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME: die Ablaufzeit für signierte Anfragen, z. B. 600s. Weitere Informationen finden Sie unter signedRequestMaximumExpirationTtl.
    • Optional: SHORT_TOKEN_NAME: Der Abfrageparameter, in dem das Kurz-Token gefunden werden soll. Der Standardwert ist edge-cache-token. Weitere Informationen finden Sie unter SignedTokenOptions.

    Wenn Sie HMACs mit symmetrischem Schlüssel verwenden, fügen Sie im Bereich signedTokenOptions allowedSignatureAlgorithms mit dem Wert HMAC_SHA_256 an:

           allowedSignatureAlgorithms:
       - HMAC_SHA_256

  3. Wenn du den Dienst aktualisieren möchtest, importiere die Media CDN-Konfiguration aus der YAML-Datei. Führen Sie den Befehl gcloud edge-cache services import aus.

    gcloud edge-cache services import SERVICE_NAME \
    --source=FILENAME.yaml

Damit ist die Aktivierung der Authentifizierung mit einem einzelnen Token abgeschlossen.

Informationen zum Konfigurieren der Zwei-Token-Authentifizierung finden Sie in den folgenden Abschnitten.

Primäre Manifest-Routingregel für die Generierung von Tokens mit langer Gültigkeit konfigurieren

Konfiguriere Media CDN so, dass Langzeit-Tokens auf der primären Manifest-Route generiert werden. Wählen Sie entweder Cookies oder URL-Suchparameter aus, um diese Tokens zu generieren.

Console

Ändere die primäre Manifest-Routenregel so, dass Media CDN auf der Route Langzeit-Tokens generieren kann:

  1. Klicken Sie auf der Seite Routingregel bearbeiten auf Erweiterte Konfigurationen.
  2. Wählen Sie für Typ die Option CDN-Richtlinie aus.
  3. Maximieren Sie Dual-Token-Authentifizierung.
  4. Wählen Sie unter Signaturaktion die Option Neues Langzeit-Token generieren aus.

  5. Wählen Sie unter Signaturtyp eine der folgenden Optionen aus:

    • über Cookies (für HLS- und DASH-Streaming): Hiermit wird Media CDN so konfiguriert, dass eine Edge-Cache-Cookie mit der primären Manifestantwort zurückgegeben wird.
    • Über URI-Abfrageparameter des HLS-Manifests (ohne Cookies): Hiermit wird Media CDN so konfiguriert, dass das primäre HLS-Manifest manipuliert wird, indem jeder URL ein Langzeit-Token angehängt wird.

  6. Führen Sie im Abschnitt Neues Langzeit-Token generieren die folgenden Schritte aus:

    1. Wenn Sie ein Schlüsselsatz für Tokens mit langer Gültigkeit angeben möchten, klicken Sie auf Schlüsselsatz auswählen und wählen Sie den Schlüsselsatz für Tokens mit langer Gültigkeit aus.

      Alternativ können Sie auf Neues Schlüsselset erstellen klicken, um ein neues Schlüsselset mit den erforderlichen Schlüsseln zu erstellen. Wählen Sie es dann aus.

    2. Geben Sie unter Token-TTL die maximale Lebensdauer des Tokens mit langer Gültigkeit in Sekunden an.

    3. Wenn du unter Signaturtyp die Option über Cookies ausgewählt hast, wähle im Abschnitt Kopierte Parameter die Parameter aus, die Media CDN aus dem Kurzzeit-Token in das Langzeit-Token kopieren soll. Wenn Sie die Dual-Token-Authentifizierung verwenden möchten, müssen Sie entweder PathGlobs (oder einen ihrer Aliasse, acl oder paths) oder URLPrefix auswählen.

      Wenn du die Option über URI-Abfrageparameter des HLS-Manifests ausgewählt hast, behalte für den Token-Suchparameter den Standardwert edge-cache-token bei.

  7. Klicken Sie auf Fertig, um die Änderungen im Bereich Wegbewegungsaktion zu speichern.

  8. Klicken Sie auf Speichern, um die Änderungen an der Routenregel zu speichern.

    Es wird eine Meldung angezeigt, in der du gefragt wirst, ob du die Routen für Medienplaylists und ‑segmente automatisch oder manuell erstellen möchtest. Wenn Sie die automatische Option auswählen, wird eine neue Route für die Cookie-Signatur und zwei Routen für die signaturlose Variante erstellt. Wenn Sie die manuelle Option auswählen, fahren Sie mit dem nächsten Abschnitt fort.

gcloud und YAML

Ändere den Abschnitt addSignatures der primären Manifest-Routingregel so, dass Media CDN auf der Route Tokens mit langer Gültigkeit generieren kann:

Cookies 

          addSignatures:
            actions:
              - GENERATE_COOKIE
            keyset: LONG_KEYSET_NAME
            tokenTtl: TOKEN_EXPIRATION_TIME
            copiedParameters:
              - PathGlobs
              - SessionID

Ersetzen Sie Folgendes:

  • LONG_KEYSET_NAME: der Name des Schlüsselsatzes für langlebige Tokens

  • TOKEN_EXPIRATION_TIME: die Ablaufzeit des Tokens mit langer Gültigkeit, z. B. 86400s für eine Gültigkeitsdauer von einem Tag

In diesem Codebeispiel werden die folgenden Änderungen implementiert:

  • addSignatures.actions: GENERATE_COOKIE: Konfiguriert Media CDN so, dass eine Edge-Cache-Cookie mit der primären Manifestantwort zurückgegeben wird.

  • copiedParameters.PathGlobs: Hiermit wird Media CDN so konfiguriert, dass das PathGlobs aus dem Kurzzeit-Token in das Langzeit-Token kopiert wird. Wenn Sie die Authentifizierung mit zwei Tokens verwenden möchten, müssen Sie entweder copiedParameters.PathGlobs oder copiedParameters.URLPrefix verwenden. Weitere Informationen finden Sie unter copiedParameters.

  • Optional: copiedParameters.SessionID: Konfiguriert Media CDN so, dass die SessionID aus dem Kurzzeit-Token in das Langzeit-Token kopiert wird.

Wenn die GENERATE_COOKIE-Aktion angewendet wird, gibt Media CDN einen Set-Cookie-Header zurück, der in etwa so aussieht wie der folgende mit der primären Manifest-Antwort:

Set-Cookie: Edge-Cache-Cookie=PathGlobs=PATHS~SessionID=SESSION_ID~Expires=EXPIRATION~_GO=Generated~Signature=SIGNATURE

URL-Suchparameter 

          addSignatures:
            actions:
              - GENERATE_TOKEN_HLS_COOKIELESS
            keyset: LONG_KEYSET_NAME
            tokenTtl: TOKEN_EXPIRATION_TIME
            copiedParameters:
              - PathGlobs
              - SessionID
            tokenQueryParameter: LONG_TOKEN_NAME

Ersetzen Sie Folgendes:

  • LONG_KEYSET_NAME: der Name des Schlüsselsatzes mit langer Gültigkeit

  • TOKEN_EXPIRATION_TIME: die Ablaufzeit des Tokens mit langer Gültigkeit, z. B. 86400s für eine Gültigkeitsdauer von einem Tag

In diesem Codebeispiel werden die folgenden Änderungen implementiert:

  • addSignatures.actions: GENERATE_TOKEN_HLS_COOKIELESS: Media CDN wird so konfiguriert, dass das primäre HLS-Manifest manipuliert wird, indem jedem vorhandenen URI ein Langzeit-Token angehängt wird.

  • copiedParameters.PathGlobs: Hiermit wird Media CDN so konfiguriert, dass das PathGlobs aus dem Kurzzeit-Token in das Langzeit-Token kopiert wird. Wenn Sie die Authentifizierung mit zwei Tokens verwenden möchten, müssen Sie copiedParameters.PathGlobs oder copiedParameters.URLPrefix verwenden. Weitere Informationen finden Sie unter copiedParameters.

  • Optional: copiedParameters.SessionID: Hiermit wird Media CDN so konfiguriert, dass die SessionID aus dem Kurzzeit-Token in das Langzeit-Token kopiert wird.

  • Optional: LONG_TOKEN_NAME: Der Abfrageparameter, in dem das generierte Long-Token eingefügt werden soll. Der Standardwert ist edge-cache-token. Weitere Informationen finden Sie unter tokenQueryParameter.

In der folgenden Manifestdatei ist die angewendete GENERATE_TOKEN_HLS_COOKIELESS-Aktion zu sehen:

#EXTM3U
#EXT-X-STREAM-INF:BANDWIDTH=1280000,AVERAGE-BANDWIDTH=1000000
http://example.com/HLS_PRIMARY_PLAYLIST.m3u8?LONG_TOKEN_NAME=PathGlobs=PATHS~SessionID=SESSION_ID~Expires=EXPIRATION~_GO=Generated~Signature=SIGNATURE

Media CDN überprüft das Kurzzeit-Token und generiert und speichert dann das Langzeit-Token im Abfrageparameter LONG_TOKEN_NAME.

Routen für Medienplaylists und ‑segmente so konfigurieren, dass Langzeit-Tokens erforderlich sind

Konfiguriere die Routen für Medienplaylists und ‑segmente so, dass für sie Langzeit-Tokens erforderlich sind.

Console

Cookies

Erstelle eine Routingregel für die Route „Medienplaylists und ‑segmente“:

  1. Klicken Sie auf der Seite Edge-Cache-Dienst bearbeiten im Bereich Routing auf die Hostregel mit der primären Manifestroute.
  2. Klicken Sie auf Weiterleitungsregel hinzufügen.
  3. Legen Sie im Bereich Routingregel bearbeiten für Priorität einen Wert fest, der über dem der primären Manifestroute liegt, z. B. 2. Höhere Werte bedeuten eine niedrigere Priorität.
  4. Geben Sie unter Beschreibung eine kurze Beschreibung ein, anhand derer sich die Regel in der Liste der Regeln leichter identifizieren lässt.

  5. Legen Sie die folgenden Felder wie vorgeschlagen fest:

    • Herkunft auswählen: wie bei der primären Manifest-Routenregel
    • Übereinstimmungsbedingung hinzufügen: wie bei der primären Manifest-Routenregel
    • Typ: CDN-Richtlinie
    • Modus für signierte Anfrage: Tokens erforderlich
    • Schlüsselsatz auswählen: wie bei Tokens mit langer Gültigkeit
    • Signaturalgorithmus: wie bei der primären Manifest-Routenregel

  6. Maximieren Sie Dual-Token-Authentifizierung.

  7. Behalten Sie für Signaturaktion den Standardwert Keine bei.

  8. Klicken Sie auf Fertig und anschließend auf Speichern.

URL-Suchparameter

  1. Erstellen Sie eine Routingregel für die Medienplaylist.

    1. Klicken Sie auf der Seite Edge-Cache-Dienst bearbeiten im Bereich Routing auf die Hostregel mit der primären Manifestroute.
    2. Klicken Sie auf Weiterleitungsregel hinzufügen.
    3. Legen Sie im Bereich Routingregel bearbeiten für Priorität einen Wert fest, der über dem der primären Manifestroute liegt, z. B. 2. Höhere Werte bedeuten eine niedrigere Priorität.
    4. Geben Sie unter Beschreibung eine kurze Beschreibung ein, anhand derer sich die Regel in der Liste der Regeln leichter identifizieren lässt.

    5. Legen Sie die folgenden Felder wie vorgeschlagen fest:

      • Ursprung auswählen: Entspricht der primären Manifest-Routenregel.
      • Übereinstimmungsbedingung hinzufügen: Entspricht der Bedingung für die primäre Manifest-Wegregel.
      • Typ: CDN-Richtlinie
      • Modus für signierte Anfrage: Tokens erforderlich
      • Schlüsselsatz auswählen: wie bei Tokens mit langer Gültigkeit
      • Signaturalgorithmus: derselbe wie für die primäre Manifest-Wegregel
      • Abfrageparameter für Tokens: wie bei Tokens mit langer Gültigkeit

    6. Maximieren Sie Dual-Token-Authentifizierung.

    7. Wählen Sie unter Signaturaktion die Option Vorhandenes Langzeit-Token weitergeben aus.

      Diese Option wird erst aktiviert, nachdem Media CDN überprüft hat, ob das Token mit langer Laufzeit mit dem Signaturtyp über URI-Abfrageparameter des HLS-Manifests (ohne Cookies) generiert wurde.

    8. Behalten Sie für Abfrageparameter für Tokens den Standardwert edge-cache-token bei.

    9. Klicken Sie auf Fertig und anschließend auf Speichern.

  2. Erstellen Sie eine Routenregel für Mediensegmente.

    Diese Route ähnelt der Route für Medienplaylists, mit den folgenden wichtigen Unterschieden:

    • Lege für Priorität einen Wert fest, der über dem der Routenregel für die Medienplaylist liegt, z. B. 3.
    • Geben Sie unter Beschreibung eine kurze Beschreibung ein, anhand derer sich die Regel in der Liste der Regeln leichter identifizieren lässt.
    • Belassen Sie im Abschnitt Zwei-Token-Authentifizierung für Signaturaktion den Standardwert Keine.

gcloud und YAML

Bearbeiten Sie die YAML-Datei:

Cookies

Konfiguriere die Medienplaylist und die Segmente so, dass für sie Cookies mit langer Gültigkeitsdauer erforderlich sind:

    - priority: 2
      description: "SEGMENTS_ROUTE_DESCRIPTION"
      origin: "ORIGIN_NAME"
      matchRules:
      - pathTemplateMatch: "/**.m3u8" # HLS media playlists
      - pathTemplateMatch: "/**.ts" # HLS segments
      - pathTemplateMatch: "/**.m4s" # DASH / CMAF segments
      routeAction:
        cdnPolicy:
          cacheMode: CACHE_ALL_STATIC
          signedRequestMode: REQUIRE_TOKENS
          signedRequestKeyset: LONG_KEYSET_NAME

Ersetzen Sie SEGMENTS_ROUTE_DESCRIPTION durch eine Beschreibung der Route.

In diesem Codebeispiel werden die folgenden Änderungen implementiert:

  • priority: 2: die Priorität der Route. Je höher der Wert, desto niedriger die Priorität. Da die Route für deine Medienplaylists und ‑segmente mit jedem Dateinamen übereinstimmt, der auf .m3u8 endet, muss die Priorität für die Route niedriger sein als die Route, die du zuvor für das primäre Manifest erstellt hast.
  • signedRequestMode: REQUIRE_TOKENS: Erzwingt Tokens für Medienplaylists und Mediensegmente. Wenn du statische MPD-Dateien (Media Presentation Description) verwendest, können sich die langen und kurzen Schlüsselsätze unterscheiden. Wenn du dynamische MPD-Dateien verwendest, müssen die langen und kurzen Schlüsselsätze identisch sein.
  • signedRequestKeyset: LONG_KEYSET_NAME: Media CDN verwendet den Schlüsselsatz für die Langzeitdauer, um das Langzeit-Cookie zu validieren, das von einem User-Agent für Anfragen zu Medienplaylists und Mediensegmenten bereitgestellt wird.

URL-Suchparameter

Fügen Sie zwei Routenkonfigurationen hinzu:

  1. Konfiguriere die HLS-Media-Manifest-Routen so, dass Tokens mit langer Gültigkeitsdauer weitergegeben werden:

       - priority: 2
     description: "PLAYLIST_ROUTE_DESCRIPTION"
     origin: "ORIGIN_NAME"
     matchRules:
     - pathTemplateMatch: "/**.m3u8" # HLS media playlists
     routeAction:
       cdnPolicy:
       cacheMode: CACHE_ALL_STATIC
       signedRequestMode: REQUIRE_TOKENS
       signedRequestKeyset: LONG_KEYSET_NAME
       addSignatures:
         actions:
         - PROPAGATE_TOKEN_HLS_COOKIELESS

    Ersetzen Sie PLAYLIST_ROUTE_DESCRIPTION durch eine Beschreibung der Route.

    In diesem Codebeispiel werden die folgenden Änderungen implementiert:

    • priority: 2: die Priorität der Route. Je höher der Wert, desto niedriger die Priorität. Da die Route für deine Mediaplaylists mit allen Dateinamen übereinstimmt, die auf .m3u8 enden, muss die Priorität für die Route niedriger sein als die der Route, die du zuvor für das primäre Manifest erstellt hast.
    • signedRequestMode: REQUIRE_TOKENS: Erzwingt Tokens für Medienplaylists und Mediensegmente. Wenn du statische MPD-Dateien (Media Presentation Description) verwendest, können sich die langen und kurzen Schlüsselsätze unterscheiden. Wenn du dynamische MPD-Dateien verwendest, müssen die langen und kurzen Schlüsselsätze identisch sein.
    • signedRequestKeyset: LONG_KEYSET_NAME: Media CDN verwendet den Schlüsselsatz für die Langzeitdauer, um das Langzeit-Cookie zu validieren, das von einem User-Agent für Anfragen zu Medienplaylists und Mediensegmenten bereitgestellt wird.
    • addSignatures.actions: PROPAGATE_TOKEN_HLS_COOKIELESS: Hiermit wird Media CDN so konfiguriert, dass das Langzeit-Token in die URIs der Mediensegmente in den Medienplaylists kopiert wird.

  2. Konfigurieren Sie die Segmentpfade so, dass Tokens mit langer Gültigkeitsdauer erforderlich sind:

       - priority: 3
     description: "SEGMENTS_ROUTE_DESCRIPTION"
     origin: "ORIGIN_NAME"
     matchRules:
     - pathTemplateMatch: "/**.ts" # HLS segments
     routeAction:
       cdnPolicy:
         cacheMode: CACHE_ALL_STATIC
         signedRequestMode: REQUIRE_TOKENS
         signedRequestKeyset: LONG_KEYSET_NAME

    Ersetzen Sie SEGMENTS_ROUTE_DESCRIPTION durch eine Beschreibung der Route.

    In diesem Codebeispiel werden die folgenden Änderungen implementiert:

    • priority: 3: die Priorität der Route. Je höher der Wert, desto niedriger die Priorität. Die Priorität für diese Route muss niedriger sein als die der Route, die Sie zuvor für die Medienplaylists erstellt haben.
    • signedRequestMode: REQUIRE_TOKENS: Erzwingt Tokens für Medienplaylists und Mediensegmente.
    • signedRequestKeyset: LONG_KEYSET_NAME: Media CDN verwendet den Schlüsselsatz für die Langzeit-Signatur, um das signierte Langzeit-Token zu validieren, das von einem User-Agent für Anfragen zu Medienplaylists und Mediensegmenten bereitgestellt wird.

Beispiel: Konfigurationsdatei

Das folgende Codebeispiel zeigt eine vollständige Konfigurationsdatei:

Cookies 

name: SERVICE_NAME
routing:
  hostRules:
  - hosts:
    - DOMAIN_NAME
    pathMatcher: routes
  pathMatchers:
    - name: "ROUTE_NAME"
      routeRules:
      - priority: 1
        description: "ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/HLS_MASTER_PLAYLIST.m3u8" # HLS primary playlists
        - pathTemplateMatch: "/DASH_MANIFESTS.mpd" # DASH manifests
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: SHORT_KEYSET_NAME
            signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
            addSignatures:
              actions:
                - GENERATE_COOKIE
              keyset: LONG_KEYSET_NAME
              tokenTtl: TOKEN_EXPIRATION_TIME
              copiedParameters:
                - PathGlobs
                - SessionID
      - priority: 2
        description: "SEGMENTS_ROUTE_DESCRIPTION"
        origin: "ORIGN_NAME"
        matchRules:
        - pathTemplateMatch: "/**.m3u8" # HLS media playlists
        - pathTemplateMatch: "/**.ts" # HLS segments
        - pathTemplateMatch: "/**.m4s" # DASH / CMAF segments
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: LONG_KEYSET_NAME

URL-Suchparameter 

name: SERVICE_NAME
routing:
  hostRules:
  - hosts:
    - DOMAIN_NAME
    pathMatcher: routes
  pathMatchers:
    - name: "ROUTE_NAME"
      routeRules:
      - priority: 1
        description: "ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/HLS_PRIMARY_PLAYLIST.m3u8" # HLS primary playlists
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: SHORT_KEYSET_NAME
            signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
            signedTokenOptions:
              tokenQueryParameter: SHORT_TOKEN_NAME
            addSignatures:
              actions:
                - GENERATE_TOKEN_HLS_COOKIELESS
              keyset: LONG_KEYSET_NAME
              tokenTtl: TOKEN_EXPIRATION_TIME
              tokenQueryParameter: LONG_TOKEN_NAME
              copiedParameters:
                - PathGlobs
                - SessionID
      - priority: 2
        description: "PLAYLIST_ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/**.m3u8" # HLS media playlists
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: LONG_KEYSET_NAME
            addSignatures:
              actions:
                - PROPAGATE_TOKEN_HLS_COOKIELESS
      - priority: 3
        description: "SEGMENTS_ROUTE_DESCRIPTION"
        origin: "ORIGIN_NAME"
        matchRules:
        - pathTemplateMatch: "/**.ts" # HLS segments
        routeAction:
          cdnPolicy:
            cacheMode: CACHE_ALL_STATIC
            signedRequestMode: REQUIRE_TOKENS
            signedRequestKeyset: LONG_KEYSET_NAME

Kurzlebige Tokens auf Ihrem Anwendungsserver generieren

Weitere Informationen zum Generieren von Tokens finden Sie unter Tokens generieren.

Defense-in-Depth-Inhaltsschutzmaßnahmen anwenden

Wir empfehlen, die Ursprungsauthentifizierung so zu aktivieren: