数据安全防护方案之防盗链

数据安全防护方案之防盗链的应用背景

被盗链是在自己的服务器上显示自己需要的页面上的内容，为其他人获取资源，绕过其他人的资源，查看页面，并向这些用户提供页面上的属性。通常被盗的是图片、音乐、视频、软件和资源。通过窃取链，您可以减轻服务器的负担。通过引用或签名，网站可以检测目标网页访问的源网页，如果是资源文件，当检测到网站不是网站的源时，您可以阻止或返回指定的网页。

CDN是一个盗窃场景的比较场景。捕获应用程序或通过获取应用程序上传并上传CDN域名，黑山上传您自己的资源。

数据安全防护方案之防盗链--防御计划

1、参考机制：

防盗功能基于HTTP协议支持的参考机制，通过参考跟踪来源，识别和判断来源。当用户访问域名站点的内容时，访问请求到达CDN节点时，CDN节点可以基于设置的预先配置的黑白列表识别并过滤访问者的ID，从而允许根据规则平滑访问内容。当不符合规则时，禁止访问请求，并返回访问禁止错误信息403。referer防盗链相对简单。当然，推荐人可以伪造。

2、时间戳盗窃链：

主要是一个URL请求，它添加时间戳信息并向URL添加时间。如果盗窃未更新URL，则无法访问。这很常见，但如果盗取链的人定期更新URL，则此方法也将被禁用。

3、白名单：

用户可以在为请求者设置IP黑名单并设置黑名单后访问黑名单。相反，白名单用户只能访问白名单用户。

4、基本思路：

最终用户通过指定的URL向服务器指定资源，CDN缓存节点分析请求URL的盗窃URL参数，获取时间戳、时间检查阶段、MD5等参数，按照承诺的规则成功提供服务，并响应服务最终用户。无休止的最终用户请求资源并返回403而不满足承诺的规则。开发人员可以将视频播放控制参数连接到querystring格式的视频URL。CDN节点检查URL的播放控制参数，并基于这些参数控制视频的播放。目前，钥匙防盗链支持防盗链的有效时间控制、防盗链的再生编号控制，以及通过过期参数、再生IP编号参数和显示时间参数进行视频播放时间控制。

数据安全防护方案之防盗链--案例分析

开发人员在视频地址中有视频源URL。如果防盗链未打开，则可以使用视频源URL播放视频。打开防盗链时，不会播放视频的原始URL。在这种情况下，您需要设置视频盗窃链URL。CDN返回视频数据经许可确认。

防盗链URL的创建规则是通过querystring方法将防盗链参数添加到原始URL的末尾。

http://example.vod.com/dir1/myVideo.mp4?t=[t]Exper=[Exper]&ampampRlimit=[Rlimit]&amp；amp；Us=[Us]&amp；amp；

该参数的含义是：

T（必需）：以UNIX时间十六进制显示播放地址的过期戳。过期的URL无效，返回403响应代码。考虑到机器之间可能存在时差，防盗链URL的实际过期日期通常比指定的过期日期长5分钟。也就是说，它还提供300秒的行车时间。建议确保您有足够的时间完全播放视频，而不缩短过期的时间戳。

Exper（选择/选择）：测试时间长，单位为秒，以十进制表示，零未填充或未测试（即返回整个视频）。请勿超过视频的原始时间。否则，您可能无法参加比赛。

Rlimit（选择/选择）：允许最大限度地播放一些不同的IP终端，并以十进制数字显示，而不限制它们。如果只能播放一个限制，建议您将rlimit限制为1。例如，如果在移动终端断开连接后重新连接IP，它可能会更改。

我们使用链接ID和随机防盗链URL来增强链接的唯一性。建议您在每次创建防盗链URL时指定US值。

签名：被盗链签名以32个字符的十六进制数使用，以验证被盗链的URL。如果签名验证失败，则返回403响应代码。

签名公式是：Sign=MD5（Key+T+exper+rlimit+US）

似乎有人注意到了。你又是怎么长高的？这把钥匙是我们的身高。CDN和我们创建URL的服务器需要使用相同的密钥进行加密和解密。钥匙填写在打开的URL盗窃链中。长度必须介于8到20个字符之间，带有大小写字母（A-Z）或数字（0-9）。

例如视频源地址：https://example.vod.com/dir1/myVideo.mp4Key:24 feqmtzro 4v5u3d5epw，随机字符串us 72d4cd1101，过期时间为20:20:20.00（UNIX时间为151410000000），t为151410000。此处未设置Exper和limit。

计算签名：sign=MD5（“24 feqmtzro 4V 5 W5”）

http://example.vod.com/dir1/myVideo.mp4?t=5a71afc0&amp；Us=72d4cd1101&amp；amp；符号=01 ad188259

摘要：密钥防盗链应用于资源丰富的资源文件，并通过设置密钥在签名过期日期内控制资源内容的访问时间。密钥盗窃链使用MD5算法将MD5值添加到URL，以计算密钥、过期日期和文件路径等信息。如果CDN节点发出验证请求，则检查MD5值是否与验证周期匹配。对于非MD5，即使请求过期，也禁止访问。钥匙防盗链可自行设置。如果您在网站上有任何内容，您可以以一定的速率访问它，并且访问过期。十分钥匙防盗链可以组合实现