Para aplicar a autenticação de dois tokens quando os espectadores acessam um recurso de streaming, configure rotas separadas. Uma rota é uma configuração que corresponde a solicitações do Media CDN e direciona o tráfego HTTP para uma origem. A CDN de mídia oferece suporte a rotas para recursos de HTTP Live Streaming (HLS) ou Dynamic Adaptive Streaming over HTTP (DASH). Para mais informações sobre rotas na Media CDN, consulte Configurar rotas de serviço.
Para transmissões HLS, a Media CDN oferece suporte à autenticação de dois tokens por cookies e parâmetros de consulta de URL (sem cookies). Para transmissões DASH, a Media CDN só oferece suporte à autenticação de token duplo baseada em cookies.
Esta página descreve como configurar rotas do Media CDN para ajudar a proteger o conteúdo usando a autenticação de dois tokens.
Antes de começar
Faça o seguinte:
Para tokens de curta duração, escolha um dos seguintes algoritmos de assinatura:
- Assinaturas Ed25519
- Códigos de autenticação de mensagem baseados em hash de chave simétrica (HMACs)
É possível ativar algoritmos de assinatura HMAC simétricos apenas para rotas configuradas para gerar novos tokens de longa duração. Recomendamos o uso de assinaturas Ed25519 para desempenho e segurança ideais e HMACs de chave simétrica somente quando necessário para compatibilidade com outros CDNs.
Inclua as chaves necessárias em um recurso
EdgeCacheKeyset
.Os tokens precisam ser assinados ou verificados com chaves em um recurso
EdgeCacheKeyset
. O conjunto de chaves precisa incluir as chaves corretas para o algoritmo de assinatura selecionado. A tabela a seguir descreve cada um dos algoritmos de assinatura e as chaves necessárias.Algoritmo de assinatura Chaves obrigatórias no conjunto de chaves Ed25519 Chaves públicas HMAC-SHA1 Chaves compartilhadas de validação HMAC-SHA256 Chaves compartilhadas de validação Como prática recomendada, crie dois conjuntos de chaves separados, um para tokens de curta duração e outro para tokens de longa duração.
No entanto, se você estiver usando arquivos DASH e de descrição de apresentação de mídia dinâmica (MPD, na sigla em inglês), use o mesmo conjunto de chaves para tokens de longa e curta duração.
Para tokens de longa duração, escolha um dos seguintes formatos:
- Cookies
- Parâmetros de consulta do URL
Configurar tokens de curta duração
Dependendo do algoritmo de assinatura que você quer usar, configure tokens de curta duração usando uma das seguintes opções.
Assinatura Ed25519
Gere uma chave privada:
openssl genpkey -algorithm ed25519 -outform PEM -out SSL_KEY_NAME.private.key
Substitua
SSL_KEY_NAME
por um nome de chave.Gere uma chave pública da chave privada:
openssl pkey -outform DER -pubout -in SSL_KEY_NAME.private.key |\ tail -c +13 |\ python3 -c "import base64, sys; print(('%s' % base64.urlsafe_b64encode(sys.stdin.buffer.read()))[2:-1])"
Crie um novo conjunto de chaves com uma única chave pública:
Console
No console do Google Cloud, acesse a página Media CDN.
Clique na guia Keysets.
Clique em
Criar conjunto de chaves.Em Nome, insira um nome exclusivo para o conjunto de chaves.
Opcional: em Descrição, digite uma descrição para o conjunto de chaves.
Opcional: clique em Adicionar rótulo e insira um ou mais pares de chave-valor para o conjunto de chaves.
Clique em Adicionar chave pública e faça o seguinte:
- Em ID, insira um ID alfanumérico.
- Selecione Enter the value e especifique o valor codificado em base64 da chave pública Ed25519.
Clique em Criar conjunto de chaves.
gcloud
Use o comando
gcloud edge-cache keysets create
.gcloud edge-cache keysets create SHORT_KEYSET_NAME \ --public-key='id=SSL_PUBLIC_KEY_NAME,value=SSL_PUBLIC_KEY_VALUE'
Substitua:
SHORT_KEYSET_NAME
: um nome exclusivo de conjunto de chaves, por exemplo,prod-vod-keyset
SSL_PUBLIC_KEY_NAME
: o nome da chave pública SSL.SSL_PUBLIC_KEY_VALUE
: o valor da sua chave pública SSL
Para revisar as chaves associadas ao conjunto de chaves, use o comando
gcloud edge-cache keysets describe
.gcloud edge-cache keysets describe prod-vod-keyset
O resultado será assim:
name: prod-vod-keyset description: "Keyset for prod.example.com" publicKeys: - id: "key-20200918" value: "DThVLjhAKm3VYOvLBAwFZ5XbjVyF98Ias8NZU0WEM9w" - id: "key-20200808" value: "Lw7LDSaDUrbDdqpPA6JEmMF5BA5GPtd7sAjvsnh7uDA="
Terraform
HMAC de chave simétrica
Se você ainda não usou o Secret Manager, configure o Secret Manager.
Adicione uma versão do secret em formato binário.
Conceda o papel de acesso ao Gerenciador de segredos (
roles/secretmanager.secretAccessor
) à conta de serviço da Media CDN:Console
No console do Google Cloud, acesse a página Secret Manager.
Marque a caixa de seleção ao lado do nome do secret.
Clique em Mostrar painel de informações.
No painel de informações, clique em Adicionar participante.
Em Novos participantes, insira a conta de serviço do Media CDN neste formato:
service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com
Substitua
PROJECT_NUMBER
pelo número do projeto.Em Selecionar um papel, escolha Secret Manager e depois Acessador de secrets do Secret Manager.
gcloud
Use o comando
gcloud secrets add-iam-policy-binding
gcloud secrets add-iam-policy-binding projects/PROJECT_NUMBER/secrets/SECRET_ID \ --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-mediaedgefill.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"
Substitua:
PROJECT_NUMBER
: o ID do seu projetoSECRET_ID
: o ID do secret
Acesse suas versões do secret e copie os caminhos do secret, incluindo os números de versão.
Crie um novo conjunto de chaves com os segredos compartilhados em uma chave compartilhada de validação:
Console
No console do Google Cloud, acesse a página Media CDN.
Clique na guia Keysets.
Clique em
Criar conjunto de chaves.Em Nome, insira um nome exclusivo para o conjunto de chaves.
Opcional: em Descrição, digite uma descrição para o conjunto de chaves.
Opcional: clique em Adicionar rótulo e insira um ou mais pares de chave-valor para o conjunto de chaves.
Para especificar uma chave compartilhada de validação, clique em Adicionar chave compartilhada de validação e faça o seguinte:
Em Secret, selecione um secret na lista, insira um secret manualmente especificando o ID do recurso ou crie um novo secret e selecione-o.
Em Versão do secret, selecione uma versão da lista ou crie uma nova versão do secret e selecione-a.
Clique em Criar conjunto de chaves.
gcloud
Use o comando
gcloud edge-cache keysets create
.gcloud edge-cache keysets create SHORT_KEYSET_NAME \ --validation-shared-key='secret_version=projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/KEY_VERSION'
Substitua:
SHORT_KEYSET_NAME
: um nome exclusivo para o conjunto de chaves, por exemplo,prod-vod-keyset
PROJECT_NUMBER
: ID do projeto;SECRET_ID
: o ID do recurso do secretKEY_VERSION
: a versão secreta que você quer usar
Configurar tokens de longa duração
As chaves gerenciadas pelo Google são delimitadas por conjunto de chaves. Isso significa que dois conjuntos de chaves diferentes têm chaves gerenciadas pelo Google diferentes. As chaves gerenciadas pelo Google são trocadas regularmente.
Configure tokens de longa duração usando uma das seguintes opções:
Console
Na seção Chaves, selecione Usar a chave gerenciada pelo Google para a autenticação de dois tokens.
gcloud e YAML
Use uma das seguintes opções:
Crie uma chave de assinatura gerenciada pelo Google:
gcloud edge-cache keysets create LONG_KEYSET_NAME \ --public-key='id=google-managed-key,managed=true'
Substitua
LONG_KEYSET_NAME
por um nome de chave, por exemplo,prod-vod-keyset-long
.Modificar um conjunto de chaves:
Exporte o conjunto de chaves para um arquivo YAML. Use o comando
gcloud edge-cache keysets export
.gcloud edge-cache keysets export LONG_KEYSET_NAME \ --destination=prod-vod-keyset-long.yaml
Em um editor de texto ou na ferramenta de gerenciamento de configuração, edite a configuração do conjunto de chaves para que ela fique semelhante a esta:
name: projects/my-project/locations/global/edgeCacheKeysets/LONG_KEYSET_NAME publicKeys: - id: some-key value: MC4CAQAwBQYDK2VwBCIEINV2iYugIWBuvGBJUQ_Ab69E4v4zcVqvgYHw-iZxGzcd - id: google-managed-key managed: true
Importe o conjunto de chaves editado. Use o comando
gcloud edge-cache keysets import
(em inglês).gcloud edge-cache keysets import LONG_KEYSET_NAME \ --source=prod-vod-keyset-long.yaml
É possível incluir outras chaves públicas no conjunto de chaves de token de longa duração. O conjunto de chaves pode ter no máximo três chaves públicas. Na prática, isso significa que o conjunto de chaves pode ter duas chaves gerenciadas pelo usuário e uma chave gerenciada pelo Google.
A Media CDN sempre usa a chave gerenciada pelo Google para gerar tokens. As chaves gerenciadas pelo usuário só podem ser usadas para verificação.
A inclusão de chaves públicas adicionais é útil para permitir que o aplicativo do player acesso playlists e segmentos de mídia usando solicitações assinadas geradas pelas suas próprias chaves privadas.
Configurar a troca de tokens
Esta seção mostra como configurar a troca de tokens criando várias rotas. Uma rota permite otimizar o comportamento com base no tipo de conteúdo, nos atributos do cliente e nos requisitos de atualização. Nos exemplos a seguir, usamos rotas para configurar a troca de tokens para cada parte de uma solicitação de mídia.
Configurar a rota do manifesto principal para exigir tokens de curta duração
Configure a CDN de mídia para exigir tokens de curta duração na rota de manifesto principal.
Console
Ative a autenticação de token de curta duração no trajeto do manifesto principal:
No console do Google Cloud, acesse a página Media CDN.
Para abrir a página Detalhes de um serviço, clique no nome dele.
Para mudar para o modo de edição, clique no botão Editar.
Para navegar até a seção Roteamento, clique em Próxima.
Abra a regra de host à qual você quer adicionar a regra de rota do manifesto principal.
Clique em Adicionar regra de rota.
Como alternativa, para editar uma regra de rota, clique em
Editar na respectiva linha.No painel Editar regra de rota, defina um valor para Prioridade, por exemplo,
1
.Em Descrição, forneça uma breve descrição que possa ajudar a identificar a regra na lista de regras.
Na seção Correspondência, clique em Adicionar uma condição de correspondência. Em seguida, faça o seguinte:
- Em Tipo de correspondência, selecione Correspondência de modelo de caminho.
- Para Correspondência de caminho, especifique os nomes ou modelos de caminho para a playlist principal do HLS (M3U8) ou o arquivo de manifesto DASH (MPD). Para mais informações, consulte Correspondência de caminho.
Clique em Configurações avançadas.
Na seção Rota de ação, clique em Adicionar um item.
Em Tipo, selecione Política de CDN.
Na seção Solicitação assinada, em Modo de solicitação assinada, selecione Exigir tokens.
Na seção Conjunto de chaves de solicitação assinada, faça o seguinte:
Para especificar o conjunto de chaves para tokens de curta duração, clique em Selecionar um conjunto de chaves e selecione o conjunto de chaves de token de curta duração.
Como alternativa, para criar um conjunto de chaves com as chaves necessárias, clique em Criar novo conjunto de chaves. Em seguida, selecione-o.
Em Algoritmo de assinatura, selecione Ed25519 usando chaves públicas.
Para o parâmetro de consulta do token, mantenha o valor padrão,
edge-cache-token
.Como alternativa, se você planeja usar parâmetros de consulta de URL do manifesto HLS em vez de cookies para autenticação, especifique o parâmetro em que os tokens de solicitação serão armazenados.
Em Tempo de vida útil máximo, especifique, em segundos, a vida útil máxima dos tokens de solicitação recebidos.
Para salvar as mudanças na seção Ação de roteamento, clique em Concluído.
Para salvar as mudanças na regra de roteamento, clique em Salvar.
gcloud e YAML
Exporte a configuração do Media CDN para um arquivo YAML. Use o comando
gcloud edge-cache services export
.gcloud edge-cache services export SERVICE_NAME \ --destination=FILENAME.yaml
Substitua:
SERVICE_NAME
: o nome do serviço;FILENAME
: o nome do arquivo YAML
Para ativar a autenticação de token de curta duração na regra de rota do manifesto principal, na seção
cdnPolicy
da rota do arquivo YAML, especifique uma configuraçãosignedTokensOptions
.pathMatchers: - name: "ROUTE_NAME" routeRules: - priority: 1 description: "ROUTE_DESCRIPTION" origin: "ORIGIN_NAME" matchRules: - pathTemplateMatch: "/MANIFEST_OR_PLAYLIST" routeAction: cdnPolicy: cacheMode: CACHE_ALL_STATIC signedRequestMode: REQUIRE_TOKENS signedRequestKeyset: SHORT_KEYSET_NAME signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME signedTokenOptions: tokenQueryParameter: SHORT_TOKEN_NAME
Substitua:
ROUTE_NAME
: o nome da regra de rotaROUTE_DESCRIPTION
: uma descrição da regra de roteamento.ORIGIN_NAME
: o nome da origemMANIFEST_OR_PLAYLIST
: o nome do arquivo de playlist principal do HLS (M3U8) ou do manifesto DASH (MPD). Para mais informações, consulte Correspondência de caminho.SHORT_KEYSET_NAME
: o nome do conjunto de chaves a ser usado para tokens de curta duraçãoSIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
: o tempo de expiração das solicitações assinadas. Por exemplo,600s
. Para mais informações, consultesignedRequestMaximumExpirationTtl
.- Opcional:
SHORT_TOKEN_NAME
: o parâmetro de consulta em que encontrar o token curto. O valor padrão éedge-cache-token
. Veja mais informações emSignedTokenOptions
.
Ao usar HMACs de chave simétrica, na seção
signedTokenOptions
, adicioneallowedSignatureAlgorithms
com o valorHMAC_SHA_256
:allowedSignatureAlgorithms: - HMAC_SHA_256
Para atualizar o serviço, importe a configuração do Media CDN do arquivo YAML. Use o comando
gcloud edge-cache services import
.gcloud edge-cache services import SERVICE_NAME \ --source=FILENAME.yaml
Isso conclui o processo de ativação da autenticação de token único.
Para configurar a autenticação de dois tokens, siga as seções a seguir.
Configurar a regra de rota do manifesto principal para gerar tokens de longa duração
Configure o Media CDN para gerar tokens de longa duração na rota de manifesto principal. Escolha cookies ou parâmetros de consulta do URL para gerar esses tokens.
Console
Modifique a regra de rota do manifesto principal para que o CDN de mídia possa gerar tokens de longa duração na rota:
- Na página Editar regra de rota, clique em Configurações avançadas.
- Em Tipo, selecione Política de CDN.
- Expanda Autenticação de dois tokens.
- Em Ação de assinatura, selecione Gerar novo token de longa duração.
Em Tipo de assinatura, selecione uma das seguintes opções:
- Por cookies (para streaming HLS e DASH): configura
a Media CDN para retornar um
Edge-Cache-Cookie
com a resposta do manifesto principal. - Por parâmetros de consulta de URL do manifesto HLS (sem cookies): configura a CDN de mídia para manipular o manifesto principal do HLS anexando um token de longa duração a cada URL.
- Por cookies (para streaming HLS e DASH): configura
a Media CDN para retornar um
Na seção Gerar novo token de longa duração, faça o seguinte:
Para especificar um conjunto de chaves para tokens de longa duração, clique em Selecionar um conjunto de chaves e selecione o conjunto de chaves de token de longa duração.
Se preferir, clique em Criar conjunto de chaves para criar um conjunto de chaves com as chaves necessárias. Em seguida, selecione-o.
Em TTL do token, especifique, em segundos, a duração máxima do token de longa duração.
Para Tipo de assinatura, se você selecionou a opção via cookies, selecione na seção Parâmetros copiados os parâmetros que você quer que a Media CDN copie do token de curta duração para o de longa duração. Para usar a autenticação com dois tokens, selecione
PathGlobs
(ou um dos seus aliases,acl
oupaths
) ouURLPrefix
.Se você selecionou a opção por parâmetros de consulta de URL do manifesto HLS, para parâmetro de consulta de token, mantenha o valor padrão,
edge-cache-token
.
Para salvar as mudanças na seção Ação de roteamento, clique em Concluído.
Para salvar as mudanças na regra de roteamento, clique em Salvar.
Uma mensagem vai aparecer perguntando se você quer criar as rotas para playlists de mídia e segmentos de forma automática ou manual. Se você selecionar a opção automática, uma nova rota será criada para a assinatura de cookies e duas para a assinatura sem cookies. Se você selecionar a opção manual, prossiga para a próxima seção.
gcloud e YAML
Modifique a seção addSignatures
da regra de rota de manifesto principal para que
o Media CDN possa gerar tokens de longa duração na rota:
Cookies
addSignatures:
actions:
- GENERATE_COOKIE
keyset: LONG_KEYSET_NAME
tokenTtl: TOKEN_EXPIRATION_TIME
copiedParameters:
- PathGlobs
- SessionID
Substitua:
LONG_KEYSET_NAME
: o nome do conjunto de chaves de token de longa duraçãoTOKEN_EXPIRATION_TIME
: o prazo de validade do token de longa duração. Por exemplo,86400s
para um prazo de validade de um dia.
Este exemplo de código implementa as seguintes mudanças:
addSignatures.actions: GENERATE_COOKIE
: configura o Media CDN para retornar umEdge-Cache-Cookie
com a resposta do manifesto principalcopiedParameters.PathGlobs
: configura o Media CDN para copiar oPathGlobs
do token de curta duração para o de longa duração. Para usar a autenticação de dois tokens, usecopiedParameters.PathGlobs
oucopiedParameters.URLPrefix
. Para mais informações, consultecopiedParameters
.Opcional:
copiedParameters.SessionID
: configura o Media CDN para copiar oSessionID
do token de curta duração para o de longa duração
Quando a ação GENERATE_COOKIE
é aplicada, o Media CDN
retorna um cabeçalho Set-Cookie
semelhante ao seguinte com a resposta
principal do manifesto:
Set-Cookie: Edge-Cache-Cookie=PathGlobs=PATHS~SessionID=SESSION_ID~Expires=EXPIRATION~_GO=Generated~Signature=SIGNATURE
Parâmetros de consulta do URL
addSignatures:
actions:
- GENERATE_TOKEN_HLS_COOKIELESS
keyset: LONG_KEYSET_NAME
tokenTtl: TOKEN_EXPIRATION_TIME
copiedParameters:
- PathGlobs
- SessionID
tokenQueryParameter: LONG_TOKEN_NAME
Substitua:
LONG_KEYSET_NAME
: o nome do conjunto de chaves de longa duraçãoTOKEN_EXPIRATION_TIME
: o prazo de validade do token de longa duração. Por exemplo,86400s
para um prazo de validade de um dia.
Este exemplo de código implementa as seguintes mudanças:
addSignatures.actions: GENERATE_TOKEN_HLS_COOKIELESS
: configura o Media CDN para manipular o manifesto principal do HLS anexando um token de longa duração a cada URI presente.copiedParameters.PathGlobs
: configura o Media CDN para copiar oPathGlobs
do token de curta duração para o de longa duração. Para usar a autenticação de dois tokens, é necessário usarcopiedParameters.PathGlobs
oucopiedParameters.URLPrefix
. Para mais informações, consultecopiedParameters
.Opcional:
copiedParameters.SessionID
: configura o Media CDN para copiar oSessionID
do token de curta duração para o de longa duração.Opcional:
LONG_TOKEN_NAME
: o parâmetro de consulta em que colocar o token longo gerado. O valor padrão éedge-cache-token
. Veja mais informações emtokenQueryParameter
.
O arquivo de manifesto a seguir mostra a ação GENERATE_TOKEN_HLS_COOKIELESS
aplicada:
#EXTM3U #EXT-X-STREAM-INF:BANDWIDTH=1280000,AVERAGE-BANDWIDTH=1000000 http://example.com/HLS_PRIMARY_PLAYLIST.m3u8?LONG_TOKEN_NAME=PathGlobs=PATHS~SessionID=SESSION_ID~Expires=EXPIRATION~_GO=Generated~Signature=SIGNATURE
A Media CDN verifica o token de curta duração e, em seguida,
gera e armazena o token de longa duração no
parâmetro de consulta LONG_TOKEN_NAME
.
Configurar as rotas de playlist de mídia e segmentos para exigir tokens de longa duração
Configure as rotas de playlists de mídia e segmentos para exigir tokens de longa duração.
Console
Cookies
Crie uma regra de rota para a playlist de mídia e a rota de segmentos:
- Na página Editar serviço de cache do Edge, na seção Roteamento, clique na regra de host que tem a rota de manifesto principal.
- Clique em Adicionar regra de rota.
- No painel Editar regra de rota, para Prioridade, defina um valor
maior do que o da rota de manifesto principal, por exemplo,
2
. Quanto maior o valor, menor a prioridade. - Em Descrição, forneça uma breve descrição que possa ajudar a identificar a regra na lista de regras.
Defina os campos a seguir conforme sugerido:
- Selecionar uma origem: mesma coisa que para a regra de trajeto do manifesto principal
- Adicionar uma condição de correspondência: mesma que para a regra de rota de manifesto principal
- Tipo: política de CDN
- Modo de solicitação assinada: Exigir tokens
- Selecionar um conjunto de chaves: igual aos tokens de longa duração
- Algoritmo de assinatura: igual à regra de rota de manifesto principal
Expanda Autenticação de dois tokens.
Em Ação de assinatura, mantenha o valor padrão Nenhum.
Clique em Concluído e depois em Salvar.
Parâmetros de consulta do URL
Crie uma regra de roteamento para a playlist de mídia.
- Na página Editar serviço de cache do Edge, na seção Roteamento, clique na regra de host que tem a rota de manifesto principal.
- Clique em Adicionar regra de rota.
- No painel Editar regra de rota, para Prioridade, defina um valor
maior que o da rota de manifesto principal. Por
exemplo,
2
. Quanto maior o valor, menor a prioridade. - Em Descrição, forneça uma breve descrição que possa ajudar a identificar a regra na lista de regras.
Defina os campos a seguir conforme sugerido:
- Selecionar uma origem: mesma que a da regra de rota de manifesto principal
- Adicionar uma condição de correspondência: mesma que a regra de rota do manifesto principal.
- Tipo: política de CDN
- Modo de solicitação assinada: Exigir tokens
- Selecionar um conjunto de chaves: o mesmo que para tokens de longa duração
- Algoritmo de assinatura: o mesmo que para a regra de rota do manifesto principal.
- Parâmetro de consulta do token: o mesmo que para tokens de longa duração
Expanda Autenticação de dois tokens.
Em Ação de assinatura, selecione Propagar o token de longa duração atual.
Essa opção só é ativada depois que a Media CDN verifica se o token de longa duração foi gerado usando o tipo de assinatura por parâmetros de consulta URI do manifesto HLS (sem cookies).
Para o parâmetro de consulta do token, mantenha o valor padrão,
edge-cache-token
.Clique em Concluído e depois em Salvar.
Crie uma regra de roteamento para segmentos de mídia.
Essa rota é semelhante à rota para playlists de mídia, com as seguintes diferenças principais:
- Em Prioridade, defina um valor maior do que o da regra de rota da
playlist de mídia. Por exemplo,
3
. - Em Descrição, forneça uma breve descrição que possa ajudar a identificar a regra na lista de regras.
- Na seção Autenticação de dois tokens, para Ação de assinatura, mantenha o valor padrão Nenhuma.
- Em Prioridade, defina um valor maior do que o da regra de rota da
playlist de mídia. Por exemplo,
gcloud e YAML
Edite o arquivo YAML:
Cookies
Configure a playlist de mídia e os segmentos para exigir cookies de longa duração:
- priority: 2
description: "SEGMENTS_ROUTE_DESCRIPTION"
origin: "ORIGIN_NAME"
matchRules:
- pathTemplateMatch: "/**.m3u8" # HLS media playlists
- pathTemplateMatch: "/**.ts" # HLS segments
- pathTemplateMatch: "/**.m4s" # DASH / CMAF segments
routeAction:
cdnPolicy:
cacheMode: CACHE_ALL_STATIC
signedRequestMode: REQUIRE_TOKENS
signedRequestKeyset: LONG_KEYSET_NAME
Substitua SEGMENTS_ROUTE_DESCRIPTION por uma descrição da rota.
Este exemplo de código implementa as seguintes mudanças:
priority: 2
: a prioridade da rota. Quanto maior o valor, menor a prioridade. Como a rota das playlists e dos segmentos de mídia corresponde a qualquer nome de arquivo que termine em.m3u8
, a prioridade da rota precisa ser menor do que a criada anteriormente para o manifesto principal.signedRequestMode: REQUIRE_TOKENS
: aplica tokens para listas de reprodução de mídia e segmentos de mídia. Se você estiver usando arquivos de descrição de apresentação de mídia estática (MPD, na sigla em inglês), os conjuntos de chaves longos e curtos podem ser diferentes. Se você estiver usando arquivos MPD dinâmicos, os conjuntos de chaves longos e curtos precisam ser iguais.signedRequestKeyset: LONG_KEYSET_NAME
: o Media CDN usa o conjunto de chaves de longa duração para validar o cookie de longa duração fornecido por um agente do usuário para solicitações de playlist e segmento de mídia.
Parâmetros de consulta do URL
Adicione duas configurações de rota:
Configure as rotas de manifesto de mídia HLS para propagar tokens de longa duração:
- priority: 2 description: "PLAYLIST_ROUTE_DESCRIPTION" origin: "ORIGIN_NAME" matchRules: - pathTemplateMatch: "/**.m3u8" # HLS media playlists routeAction: cdnPolicy: cacheMode: CACHE_ALL_STATIC signedRequestMode: REQUIRE_TOKENS signedRequestKeyset: LONG_KEYSET_NAME addSignatures: actions: - PROPAGATE_TOKEN_HLS_COOKIELESS
Substitua PLAYLIST_ROUTE_DESCRIPTION por uma descrição da rota.
Este exemplo de código implementa as seguintes mudanças:
priority: 2
: a prioridade da rota. Valores mais altos indicam prioridade mais baixa. Como a rota das playlists de mídia corresponde a qualquer nome de arquivo que termine em.m3u8
, a prioridade da rota precisa ser menor do que a criada anteriormente para o manifesto principal.signedRequestMode: REQUIRE_TOKENS
: aplica tokens para listas de reprodução de mídia e segmentos de mídia. Se você estiver usando arquivos de descrição de apresentação de mídia estática (MPD, na sigla em inglês), os conjuntos de chaves longos e curtos podem ser diferentes. Se você estiver usando arquivos MPD dinâmicos, os conjuntos de chaves longos e curtos precisarão ser iguais.signedRequestKeyset: LONG_KEYSET_NAME
: o Media CDN usa o conjunto de chaves de longa duração para validar o cookie de longa duração fornecido por um agente do usuário para solicitações de playlist e segmento de mídia.addSignatures.actions: PROPAGATE_TOKEN_HLS_COOKIELESS
: configura o Media CDN para copiar o token de longa duração para URIs de segmento de mídia nas playlists de mídia.
Configure as rotas de segmento para exigir tokens de longa duração:
- priority: 3 description: "SEGMENTS_ROUTE_DESCRIPTION" origin: "ORIGIN_NAME" matchRules: - pathTemplateMatch: "/**.ts" # HLS segments routeAction: cdnPolicy: cacheMode: CACHE_ALL_STATIC signedRequestMode: REQUIRE_TOKENS signedRequestKeyset: LONG_KEYSET_NAME
Substitua SEGMENTS_ROUTE_DESCRIPTION por uma descrição da rota.
Este exemplo de código implementa as seguintes mudanças:
priority: 3
: a prioridade da rota. Valores mais altos indicam prioridade mais baixa. A prioridade dessa rota precisa ser menor do que a criada anteriormente para as playlists de mídia.signedRequestMode: REQUIRE_TOKENS
: aplica tokens para listas de reprodução de mídia e segmentos de mídia.signedRequestKeyset: LONG_KEYSET_NAME
: o Media CDN usa o conjunto de chaves de longa duração para validar o token assinado de longa duração fornecido por um agente do usuário para solicitações de playlist de mídia e de segmento de mídia.
Exemplo: arquivo de configuração
O exemplo de código a seguir mostra um arquivo de configuração concluído:
Cookies
name: SERVICE_NAME
routing:
hostRules:
- hosts:
- DOMAIN_NAME
pathMatcher: routes
pathMatchers:
- name: "ROUTE_NAME"
routeRules:
- priority: 1
description: "ROUTE_DESCRIPTION"
origin: "ORIGIN_NAME"
matchRules:
- pathTemplateMatch: "/HLS_MASTER_PLAYLIST.m3u8" # HLS primary playlists
- pathTemplateMatch: "/DASH_MANIFESTS.mpd" # DASH manifests
routeAction:
cdnPolicy:
cacheMode: CACHE_ALL_STATIC
signedRequestMode: REQUIRE_TOKENS
signedRequestKeyset: SHORT_KEYSET_NAME
signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
addSignatures:
actions:
- GENERATE_COOKIE
keyset: LONG_KEYSET_NAME
tokenTtl: TOKEN_EXPIRATION_TIME
copiedParameters:
- PathGlobs
- SessionID
- priority: 2
description: "SEGMENTS_ROUTE_DESCRIPTION"
origin: "ORIGN_NAME"
matchRules:
- pathTemplateMatch: "/**.m3u8" # HLS media playlists
- pathTemplateMatch: "/**.ts" # HLS segments
- pathTemplateMatch: "/**.m4s" # DASH / CMAF segments
routeAction:
cdnPolicy:
cacheMode: CACHE_ALL_STATIC
signedRequestMode: REQUIRE_TOKENS
signedRequestKeyset: LONG_KEYSET_NAME
Parâmetros de consulta do URL
name: SERVICE_NAME
routing:
hostRules:
- hosts:
- DOMAIN_NAME
pathMatcher: routes
pathMatchers:
- name: "ROUTE_NAME"
routeRules:
- priority: 1
description: "ROUTE_DESCRIPTION"
origin: "ORIGIN_NAME"
matchRules:
- pathTemplateMatch: "/HLS_PRIMARY_PLAYLIST.m3u8" # HLS primary playlists
routeAction:
cdnPolicy:
cacheMode: CACHE_ALL_STATIC
signedRequestMode: REQUIRE_TOKENS
signedRequestKeyset: SHORT_KEYSET_NAME
signedRequestMaximumExpirationTtl: SIGNED_REQUEST_MAXIMUM_EXPIRATION_TIME
signedTokenOptions:
tokenQueryParameter: SHORT_TOKEN_NAME
addSignatures:
actions:
- GENERATE_TOKEN_HLS_COOKIELESS
keyset: LONG_KEYSET_NAME
tokenTtl: TOKEN_EXPIRATION_TIME
tokenQueryParameter: LONG_TOKEN_NAME
copiedParameters:
- PathGlobs
- SessionID
- priority: 2
description: "PLAYLIST_ROUTE_DESCRIPTION"
origin: "ORIGIN_NAME"
matchRules:
- pathTemplateMatch: "/**.m3u8" # HLS media playlists
routeAction:
cdnPolicy:
cacheMode: CACHE_ALL_STATIC
signedRequestMode: REQUIRE_TOKENS
signedRequestKeyset: LONG_KEYSET_NAME
addSignatures:
actions:
- PROPAGATE_TOKEN_HLS_COOKIELESS
- priority: 3
description: "SEGMENTS_ROUTE_DESCRIPTION"
origin: "ORIGIN_NAME"
matchRules:
- pathTemplateMatch: "/**.ts" # HLS segments
routeAction:
cdnPolicy:
cacheMode: CACHE_ALL_STATIC
signedRequestMode: REQUIRE_TOKENS
signedRequestKeyset: LONG_KEYSET_NAME
Gerar tokens de curta duração no servidor do aplicativo
Para saber como gerar tokens, consulte Gerar tokens.
Aplicar defesas em profundidade para proteções de conteúdo
Como prática recomendada, ative a autenticação de origem da seguinte maneira:
Para o Cloud Storage, use as permissões de gerenciamento de identidade e acesso com buckets privados do Cloud Storage.
Para provedores de armazenamento compatíveis com a AWS, use a AWS Signature versão 4. O uso da autenticação de origem bloqueia solicitações que tentam contornar o Media CDN e acessar sua origem diretamente.