使用签名 Cookie - Amazon CloudFront
为签名 Cookie 选择标准策略或自定义策略签名 Cookie 的工作方式防止滥用签名 Cookie何时 CloudFront 查看已签名的 Cookie 中的到期日期和时间?代码示例和第三方工具

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用签名 Cookie

CloudFront 签名 Cookie 允许您在不想更改当前网址或想要提供对多个受限文件(例如,网站订阅者区域中的所有文件)的访问权限时控制谁可以访问您的内容。本主题介绍了使用签名 Cookie 时的注意事项,并介绍了如何使用标准策略和自定义策略设置签名 Cookie。

主题

为签名 Cookie 选择标准策略或自定义策略

创建签名 Cookie 时,以 JSON 格式编写指定签名 Cookie 限制的策略声明,例如,URL 的有效期。可以使用标准策略或自定义策略。下表比较了标准策略和自定义策略:

说明 标准策略 自定义策略

可对多个文件重复使用策略声明。要重复使用策略声明,您必须在 Resource 对象中使用通配符。有关更多信息,请参阅在使用自定义策略的签名 Cookie 的策略声明中指定的值

可指定用户开始访问内容的日期和时间

是(可选)

可指定用户无法再访问内容的日期和时间

可指定能够访问内容的用户的 IP 地址或 IP 地址范围

是(可选)

有关使用标准策略创建签名 Cookie 的信息,请参阅使用标准策略设置签名 Cookie

有关使用自定义策略创建签名 Cookie 的信息,请参阅使用自定义策略设置签名 Cookie

签名 Cookie 的工作方式

以下概述了如何配置 CloudFront 签名 Cookie,以及在用户提交包含签名 Cookie 的请求时如何 CloudFront 响应。

  1. 在您的 CloudFront 分配中,指定一个或多个可信密钥组,其中包含 CloudFront 可用于验证 URL 签名的公钥。您可以使用相应的私有密钥对 URL 进行签名。

    有关更多信息,请参阅指定可以创建签名 URL 和签名 Cookie 的签署人

  2. 您开发应用程序,以确定用户是否应对您的内容拥有访问权限,如果是,则向查看器发送三个 Set-Cookie 标头。(每个Set-Cookie标头只能包含一个名称/值对,而 CloudFront 签名 cookie 需要三个名称/值对。) 必须先向查看器发送 Set-Cookie 标头,查看器才能请求私有内容。如果对 Cookie 设置一个较短的过期时间,您可能还需要发送另外三个 Set-Cookie 标头以响应后续请求,从而确保用户继续拥有访问权限。

    通常,您的 CloudFront 发行版将至少有两种缓存行为,一种不需要身份验证,另一种需要身份验证。站点安全部分的错误页面包含一个指向登录页面的重定向器或链接。

    如果您将分配配置为基于 Cookie 缓存文件,则 CloudFront 不会根据签名 Cookie 中的属性缓存单独的文件。

  3. 用户登录您的网站,为内容付费或满足一些其他访问要求。

  4. 应用程序在响应中返回 Set-Cookie 标头,查看器存储名称-值对。

  5. 用户请求文件。

    用户的浏览器或其他查看器获取第 4 步中的名称-值对,并将它们添加到请求的 Cookie 标头中。这就是签名 Cookie。

  6. CloudFront 使用公钥来验证已签名 Cookie 中的签名并确认 Cookie 没有被篡改。如果签名无效,则请求将被拒绝。

    如果 Cookie 中的签名有效, CloudFront 请查看 Cookie 中的政策声明(如果您使用的是固定政策,则会构造一个声明),以确认请求仍然有效。例如,如果您为 Cookie 指定了开始和结束日期和时间,则 CloudFront 确认用户在您想要允许访问的时间段内尝试访问您的内容。

    如果请求符合政策声明中的要求,则会像处理不受限制的内容一样 CloudFront 提供您的内容:它确定文件是否已在边缘缓存中,必要时将请求转发到源,然后将文件返回给用户。

防止滥用签名 Cookie

如果您在 Domain 标头中指定 Set-Cookie 参数,请尽可能指定最精确的值,以减少具有相同根域名的某些人的潜在访问。例如,app.example.com 优于 example.com,尤其是在 example.com 不由您控制时。这有助于防止他人从 www.example.com 访问内容。

为帮助防止此类攻击,请执行以下操作:

  • 排除 ExpiresMax-Age Cookie 属性,以便 Set-Cookie 标头创建会话 Cookie。当用户关闭浏览器时,系统会自动删除会话 Cookie,这降低了其他人非法访问内容的可能性。

  • 包括 Secure 属性,以便在查看器将 Cookie 包含在请求中时对 Cookie 进行加密。

  • 如果可能,请使用自定义策略并包含查看器的 IP 地址。

  • CloudFront-Expires 属性中,根据您希望用户对内容拥有访问权限的时间长度指定最短合理过期时间。

何时 CloudFront 查看已签名的 Cookie 中的到期日期和时间?

要确定已签名的 Cookie 是否仍然有效,请 CloudFront 检查 HTTP 请求时该 Cookie 中的过期日期和时间。如果客户端刚好在过期时间之前开始下载大型文件,即使在下载过程中到了过期时间,该下载也应该完成。如果 TCP 连接断开,并且客户端试图在过期时间到期后重新开始下载,则下载将会失败。

如果客户端使用 Range GET 来获取较小的文件,在过期时间到期后发生的任何 GET 请求将会失败。有关 Range GET 的更多信息,请参阅 如何 CloudFront 处理对象的部分请求(范围 GET)

代码示例和第三方工具

私有内容的代码示例仅显示如何为签名 URL 创建签名。不过,为签名 Cookie 创建签名的过程非常相似,因此代码示例中的很多内容仍然有用。有关更多信息,请参阅以下主题: