最新更新:Jan-01-2024
存储云化图像、视频或其他文件时,原创版和变换版默认通过CDN公开提供随机生成公共标识符对资产使用,这使终端用户更难猜到媒体URL,但你可能需要更多形式化方法控制谁访问媒体文件并控制时间
特征特征 | 描述性 |
---|---|
严格变换 | 避免变换动态应用媒体资产,除你专门允许动态使用或预生成的任何变换 |
签名交付 URLs | 签名云送URL是一个动态URL,在提供前先验证签名 |
私有媒体资产 | 原创资产只能由签名URL访问 |
验证媒体资产 | 原创资产和资产衍生量只能通过签名URL存取 |
存取受控媒体资产 | 与交付类型相分离的另一层(上载/私有/认证)。访问受控资产只能用认证令牌查看,除非在可选限时段内资产定义为可公开访问性 |
令牌验证 | 资产可以安全化,即使某人有交付URL,他们仍需要令牌访问资产令牌可限用特定时间框架、IP地址、acl |
允许列表或阻塞访问产品环境资产 | 向云型支持团队提交请求并列ACL允许/阻塞 |
严格变换
云形变换URLs动态化, 表示如果请求变换资产不存在, 则由飞上生成 。这是一项强势特征,但你可能不希望终端用户玩取资产上这些选项要控制此功能,您可启动严格变换产品环境避免变换动态应用媒体资产用户只限访问预生成变换资产热切上传期间或经认证请求允许交付资产文件扩展和URL转换部分完全相同转到预生成变换
启动严格变换环境设置安全性页面云控制台设置标记允许的具体变换管理员API打开命名变换或变换日志网页控制台邻接每次变换可打开菜单并切换允许或限制变换
- 如果变序参数改变举个例子
w_300c_标度
被视为不同变换C_标度w_300
上传媒体看起来都是一样的 - if文件扩展名不同举个例子
.jpg
被视为异型变换.jpeg
或JPEG文件不设扩展号,即使JPEG文件为每个案例交付格式 - 文件格式是否指定为变换举例说明
f_jpg
JPEG文件变换参数被视为异型变换.jpg
扩展值, 即使JPEG文件交付
尝试动态生成并交付允许变换
尝试访问任何其他变换,无论是不可接受或不存在,都不会成功。
允许
变换为
拆卸
.任何衍生图像生成时,特定变换仍允许使用,仍可访问某些变换组合也需要适应与严格变换启动一起工作,所以我们建议你
联系我们帮助识别过渡中的潜在问题
使用自动格式严格变换
可具体说明自动格式严格变换中,即使f_aut
参数只转换为CDN级相关格式云化计数并允许所有格式变换转换
无法使用f_aut
直接内命名变换,所以你需要合并f_aut
并命名变换动态, 并允许它严格变换
举例说 先创建新变换命名mytx
创建新动态变换选择命名变换mytx
as基础转换并添加自动格式参数f_autitx
)并标新变换允许.
允许严格转介域
可使用允许严格转介域设置转介域可生成非签名动态变换,即使启用严格变换环境设置可见安全性云控制台设置页面
签名交付 URLs
签名云送URL是一个动态URL,在提供前先验证签名实时图像变换安全签名urs详解)签名交付URL通常用于:
- 交付专用衍生资产
- 应用基于加法转换指令需要签名 URL
- 从特定的 URL获取资产时, “ 扩展 URLs” 受限
- 允许访问私有/认证资产
签名交付URL包含签名构件格式/s--SIGNATURE--/
.签名由云端后端SDKs自动生成sign_url
布林参数帮助者方法并设置它真实性(您可手动生成签名,取64基础编码的前8个字符 SHA文摘看吧生成交付URL签名获取更多信息)
举例说,为认证图像创建图像标签秘密双关
重排高度宽度300像素使用填装重排模式,同时使用SHA签名前8个字符签名变换URL
视频标签使用相同的变换
产生图像或视频后(无论是动态访问优先或视频热切上传期间)跳转签名检查,签名本身可省略(除验证资产中总是需要签名或另一种认证令牌)
私有媒体资产
图像和视频可上传为私有
限制访问原资产并只允许访问衍生资产版本原始资产只能用签名URL访问,但默认时,所有衍生版本都可访问该资产提供变换资产私有设置类型
交付 URL 中的参数私有
替代默认上传
)
资产上传为'私有'没有签名 URL无法公开存取例例下交付URL采样
图像返回错误 :
https://res.www.agrosoland.com/demo/image/private/sample.jpg
发出图像版本仍有可能举例说采样
宽度为300像素的私有图像
https://res.www.agrosoland.com/demo/image/private/w_300/sample.jpg
默认情况下,图像所有衍生版本都无障碍化,但生成图像也可以通过激活约束严格变换模式化模式禁止动态生成图像版本,但那些经专门启动后可生成的图像除外(例如带水印)严格变换允许后,您需要要么热切生成所有衍生图像,要么按许可标记特定动态变换
提供受时间限制私媒体资产访问
私有原创资产可暂时存取性(例如,用户购买后访问网站存取相片),制作限时签名URLprivate_download_url
云化API方法例举生成链接mypicID
JPEG格式原创图像
生成相似链路
https://api.www.agrosoland.com/v1_1/private-demo/image/download?api_key=824698761754661&format=jpg &public_id=my_picID&signature=d994c2b972c30d84d33fde684aa377fc17878be6×tamp=1346076992
生成的 URL通过安全认证a图像不在CDN缓存
所需参数
公共标识
标识上传资产格式化
资产文件格式
可选参数:
资源类型
- 资源类型图像显示
,视频播放
或原生
)文件交付默认值 :图像显示
.类型
文件交付类型可能的值:上传、私有、认证、默认:私有过期at
日期(UNIX时秒)URL过期默认值:1小时URL生成附属文件
- 如果真,URL下载图像作为附件否则图像显示默认值 :虚伪
.
验证媒体资产
图像视频可用a存储验证交付类型
上头验证
交付类型为 URL 元素上传资产总归验证资产更改类型还需要修改交付URL,to_类型
参数解析重命名方法论
资产设置验证时,限制访问原资产URLs和所有衍生(变换)版本资产没有某种形式的认证,这些资产及其衍生版本无法访问认证可选取下列表格之一 :
存取控制媒体资产
访问资产可逐个控制,限制访问资产到特定时间段如果当前日期不超出规定时间范围,则资产不交付
可传递访问权限设置访问控制
参数时上传或更新资产类参数为资产接受数组访问类型,只要访问类型之一有效,资产便可访问每种值的可能访问类型
数组中 :
令牌
-需求令牌验证访问资产匿名
允许公众访问资产匿名访问类型可选包括起始日期和/或结束日期(ISO8601格式),这些日期定义资产何时公开使用数组中只能包括单名访问类型
比方说,将资产设置为需要基于符号认证,除非从2022年12月15日到2024年1月20日的期间公开提供
令牌验证
令牌验证功能允许限制资产交付URL的有效性并存取资产这也是存取带a资产的唯一方法访问控制
值对称
符号有效性可限制如下方式:
- 特定时间框架或过期日期
- 专用IP地址
- 特定模式ACL(存取控制列表)
- 面向用户
验证令牌可用二分之一
- 以查询参数添加交付URL时使用云式SDKURL创建法生成URL看吧发送基于令牌验证媒体资产
- 设置为cookie,只有带有效cookie用户才能访问看吧Cookie基础认证
下表汇总每项认证选项的基本特征
签名URL | 令牌 | 库奇 | |
---|---|---|---|
时间有限 | 号 | 对 | 对 |
IP限制 | 号 | 对 | 对 |
用户控件有限 | 号 | 号 | 对 |
模式访问 | 号 | 对 | 对 |
可定制访问图像 | 号 | 对 | 对 |
CDN缓存 | 对 | 对 | 对 |
计划可用性 | 免费 | 高级 | 高级 |
需要搭建 | 号 | 对 | 对 |
CNAME必备 | 号 | 号 | 对 |
发送基于令牌验证媒体资产
云型SDKs提供创建交付URL的方法(例如铁路中的cl_image_tag和cl_View_tag)。创建基于符号验证URLsign_url
参数集真实性
)和auth-token
参数SDK方法上头auth-token
参数包括下集参数
密钥
-(要求)-令牌必须签名加密密钥从云端接收acl
-(可选性)-访问控制列表限制允许URL路径为指定模式(例如/View/auticted/*)。模式可包括云性变换并同时适用于交付资产并限制访问特定文件夹或甚至特定资产注意,如果添加叠加值(例如水印),你也应该包括fl_laya应用标志确保图层不可修改参数对生成令牌有用,该令牌可添加到多个共享变换甚至可能居同文件夹的不同URL中没有此参数,模式默认请求资产全URL路径ip语言
-(可选)-只有IP地址访问资源开始时间
- (可选)-时间印UNIX时URL失效默认值:当前时间持续时间
-(可选性)一号持续时间 URL有效秒数开始时间)过期
- (可选)一号时间戳UNIX过期
一号中或持续时间
或过期
必须提供(如果两者都提供持续时间
置之不理)
实例1:创建令牌验证URL允许访问采样
验证图像5分钟并签名MyKey
实例2:创建令牌验证URL允许访问狗狗
验证视频持续到 1/18 (UNIX时间为 1514764800) 并签名使用MyKey
Cookie认证
基于cookie验证特征允许限制交付验证资产,以便只有拥有有效cookie用户才能访问
创建认证cookie
需要创建认证cookie访问验证资产generate_auth_token
方法接受下列变量
密钥
- (要求)-cookie必须签名加密密钥从云端接收acl
访问控制列表限制允许URL路径为指定模式(例如/View/auticted/*)。模式可包括云性变换并同时适用于交付资产并限制访问特定文件夹或甚至特定资产注意,如果添加叠加值(例如水印),你也应该包括fl_laya应用标志确保图层不可修改参数对生成cookie有用,cookie可访问多个共享变换并可能居同文件夹的不同URL
可设置多存取控制列表模式,将之传递成数组值ip语言
-(可选择性)-专用IP地址可访问认证资产持续时间
-(可选性)一号持续时间cookie数秒有效值应合理设置,确保cookie按期望会话需要频繁更新(例如匹配会话过期)。过期
- (可选)一号时间戳UNIX时cookie过期开始时间
- (可选)-时间印UNIX时cookie变得有效默认值:当前时间
一号中或持续时间
或过期
必须提供(如果两者都提供持续时间
置之不理)
实例1创建5分钟有效cookie(300秒)允许访问所有认证图像并签名MY_KEY
实例2:允许访问带专用视频命名变换授权数 :
命名变换可添加水印并使用访问图像的雇员、集团或角色名在这种情况下,应该通过云控制台为每个用户、集团或角色创建命名变换机制(分别使用)。
例3:允许访问仅当用户名应用为图像文本叠加
允许使用下列URL(假设当前用户为John Smith):
但如果应用不同用户名,它与cookie内容不匹配并未经授权
例4:允许访问显示在 'eyes'单文件夹中的经认证图像和视频, 只有当红色、 粗度和50像素尺寸文本“Cecriptial”添加成文本叠加时:
Cookie定位
cookie令牌从generate_auth_token
方法包含cookie名称的字符串常态化sld-token-
及其值,例如
设置cookie在主域上,例如app.customer.com或子域指向云形images.app.customer.com.
允许列表或阻塞访问产品环境资产
你可以提交请求云型支持团队允许ACL访问您的交付资产,或反之,您可请求阻塞某些ACL访问您的交付资产可提供一个或多个ACL类型控制访问:域名、IP域名、国家代码号、路径号、用户代理器号、引用器号以及内容类型(Mime类型)
记住,如果选择允许列表选项,则必须提供云式支持并完整列出所有ACL允许使用举例说,如果想帮助脸书(或任何其他社交网络)取取图像或视频,请确定将相关ACL输入允许列表中
使用其中任一选项时,允许域名(通过许可列表或块状列表中未指定的域名)仍会像往常一样受本页描述的任何访问控制特征限制。