使用固定原則設定已簽署的 Cookie

若要使用標準政策設定已簽章的 Cookie，請完成以下步驟。若要建立簽章，請參閱為使用固定原則的已簽署 Cookie 建立簽名。

使用標準政策設定已簽章的 Cookie

如果您使用. NET或 Java 來創建簽名的 cookie，如果您尚未將密鑰 key pair 的私鑰從默認的 .pem 格式重新格式化為兼容的格式。 NET或者使用 Java，現在就這樣做。如需詳細資訊，請參閱重新格式化私密金鑰 (. NET和只有 Java）。
請編寫您的應用程式以發送三個 Set-Cookie 標頭給已核准的瀏覽者。您需要三個Set-Cookie標頭，因為每個標Set-Cookie頭只能包含一個名稱-值對，並且一個帶CloudFront 符號的 cookie 需要三個名稱-值對。名稱值組是：CloudFront-Expires、CloudFront-Signature 和 CloudFront-Key-Pair-Id。在使用者對要控制存取的檔案發出第一次請求之前，這些值必須出現在檢視器。

注意
一般而言，建議您排除 Expires 和 Max-Age 屬性。排除這些屬性會導致瀏覽器在使用者關閉瀏覽器時刪除 Cookie，從而降低有人未經授權存取您的內容的可能性。如需詳細資訊，請參閱防止濫用簽署的 Cookie。

Cookie 屬性的名稱區分大小寫。

只包含分行符號，以使屬性更易讀。
```
Set-Cookie: 
CloudFront-Expires=date and time in Unix time format (in seconds) and Coordinated Universal Time (UTC); 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Signature=hashed and signed version of the policy statement; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly
```
(選用) Domain

請求檔案的網域名稱。如果您未指定Domain屬性，預設值是中的網域名稱URL，並且僅適用於指定的網域名稱，而不適用於子網域。如果指定 Domain 屬性，它也適用於子網域名稱。網域名稱中的前導點 (例如 Domain=.example.com) 是可選的。此外，如果您指定Domain屬性，則中的網域名稱URL和Domain屬性的值必須相符。

您可以指定指 CloudFront 派給分發的網域名稱，例如 d1111abcdef8.cloudfront.net，但您無法為網域名稱指定 *.cloudfront.net。

如果您想要使用替代網域名稱 (例如 example.com in)URLs，則無論您是否指定屬性，都必須將替代網域名稱新增至您的分發中Domain。如需詳細資訊，請參閱發佈設定參考主題中的替代網域名稱 (CNAMEs)。

(選用) Path

請求檔案的路徑。如果您未指定Path屬性，預設值是中的路徑URL。

Secure

在檢視器傳送請求之前，需要對 Cookie 進行加密。我們建議您透過HTTPS連線傳送Set-Cookie標頭，以確保 Cookie 屬性不受 man-in-the-middle 攻擊。

HttpOnly

定義瀏覽器（在支持的情況下）如何與 cookie 值進行交互。使用時HttpOnly，Cookie 值無法存取 JavaScript。此預防措施有助於緩解跨網站指令碼 (XSS) 攻擊。如需詳細資訊，請參閱使用 HTTP Cookie。

CloudFront-Expires

以 Unix 時間格式（以秒為單位）和協調世界時（）指定到期日期和時間。UTC例如，二零一三年一月一日上午十時會以 Unix 時間格式UTC轉換為 1357034400。若要使用紀元時間，請在不晚於 2147483647 (2038 年 1 月 19 日下午 3 時 14 分) 的日期使用 32 位元整數。UTC如需有關的資訊UTC，請參閱 RFC3339〈網際網路上的日期和時間：時間戳記〉。https://tools.ietf.org/html/rfc3339

CloudFront-Signature

政策聲明的雜湊、簽署和 base64 編碼版本。JSON如需詳細資訊，請參閱為使用固定原則的已簽署 Cookie 建立簽名。

CloudFront-Key-Pair-Id

CloudFront 公開金鑰的識別碼，例如K2JCJMDEHXQW5F。公開金鑰 ID 會告訴要使用 CloudFront 哪個公開金鑰來驗證已簽署URL。 CloudFront 將簽名中的資訊與政策聲明中的資訊進行比較，以確認URL未遭竄改。

此公有金鑰必須屬於分佈中信任的簽署者金鑰群組。如需詳細資訊，請參閱指定可以建立已簽署URLs和已簽署 Cookie 的簽署者。

下列範例會顯示一個已簽署 Cookie 的Set-Cookie標頭，當您在中使用與您的檔案的分發相關聯的URLs網域名稱：


Set-Cookie: CloudFront-Expires=1426500000; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly

下列範例會顯示當您在檔案中使用替代網域名稱 example.org 時，一個已簽署 Cookie 的Set-CookieURLs標頭：


Set-Cookie: CloudFront-Expires=1426500000; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=example.org; Path=/images/*; Secure; HttpOnly

如果您想要使用替代網域名稱 (例如 example.com in)URLs，則無論您是否指定屬性，都必須將替代網域名稱新增至您的分發中Domain。如需詳細資訊，請參閱發佈設定參考主題中的替代網域名稱 (CNAMEs)。

為使用固定原則的已簽署 Cookie 建立簽名

若要為使用固定原則的已簽署 Cookie 建立簽章，請完成下列程序。

針對使用固定原則的已簽署 Cookie 建立政策聲明

當您設定使用標準政策的簽章 Cookie 時，該 CloudFront-Signature 屬性是政策聲明的雜湊及已簽章的版本。對於使用標準政策的已簽章的 Cookie，您不會將政策聲明包括在 Set-Cookie 標頭中，就像使用自訂政策的已簽章的 Cookie 一樣。若要建立政策陳述式，請完成下列步驟。

為使用標準政策的已簽章的 Cookie 建立政策聲明

使用下列JSON格式並使用 UTF -8 個字元編碼建構政策陳述式。完全按照規定包含所有標點符號和其他常值。如需有關 Resource 和 DateLessThan 參數的詳細資訊，請參閱您在政策陳述式中為已簽署 Cookie 標準政策所指定的值。


{
    "Statement": [
        {
            "Resource": "base URL or stream name",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": ending date and time in Unix time format and UTC
                }
            }
        }
    ]
}

從策略語句中刪除所有空格（包括製表符和換行符）。您可能必須在應用程式的程式碼的字串中包含逸出字元。

您在政策陳述式中為已簽署 Cookie 標準政策所指定的值

當您為標準政策建立政策聲明時，您可以指定以下值：

資源

URL包含查詢字串的基底 (如果有的話)，例如：

https://d111111abcdef8.cloudfront.net/images/horizon.jpg?size=large&license=yes

您只能為 Resource 指定一個值。

注意下列事項：

通訊協定 – 此值必須以 http:// 或 https:// 開頭。
查詢字串參數 – 如果沒有查詢字串參數，請省略問號。
替代網域名稱 — 如果您在中指定替代網域名稱 (CNAME)URL，則在您的網頁或應用程式中參照檔案時，必須指定替代網域名稱。請勿URL為檔案指定 Amazon S3。

DateLessThan

Unix 時間格式（以秒為單URL位）和協調世界時（）表示的到期日期和時間。UTC不要將值括在引號中。

例如，2015 年 3 月 16 日上午 10 時以 Unix 時間格式UTC轉換為 142650 萬。

這個值必須符合 CloudFront-Expires 標頭中 Set-Cookie 屬性的值。不要將值括在引號中。

如需詳細資訊，請參閱在已簽署的 Cookie 中 CloudFront 檢查到期日期和時間時。

標準政策的範例政策陳述式

當您在已簽署的 Cookie 中使用下列範例政策陳述式時，使用者可以存取檔案，https://d111111abcdef8.cloudfront.net/horizon.jpg直到 2015 年 3 月 16 日上午 10:00 為止UTC：


{
    "Statement": [
        {
            "Resource": "https://d111111abcdef8.cloudfront.net/horizon.jpg?size=large&license=yes",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": 1426500000
                }
            }
        }
    ]
}

簽署政策聲明以為使用固定策略的已簽名 cookie 創建簽名

要為 CloudFront-Signature 標頭中的 Set-Cookie 屬性建立值，請對您在為使用標準政策的已簽章的 Cookie 建立政策聲明中建立的政策聲明進行雜湊和簽署。

如需有關如何對政策聲明進行雜湊、簽章和編碼的詳細資訊和範例，請參閱以下主題：

使用標準政策為已簽章的 Cookie 建立簽章

使用 SHA -1 雜湊函數，並RSA對您在程序中建立的原則陳述式進行雜湊處理和簽署為使用標準政策的已簽章的 Cookie 建立政策聲明。使用不再包含空白空格的原則陳述式版本。

對於雜湊函數所需的私有金鑰，使用其公有金鑰在活動的信任金鑰組中的私有金鑰進行分佈。

注意
用於雜湊和簽名政策聲明的方法取決於您的程式設計語言和平台。如需程式碼範例，請參閱建立已簽署簽章的程式碼範例 URL。
從雜湊和簽署的字串中移除空格 (包括製表符和換行符)。
使MIME用 base64 編碼對字串進行編碼。如需詳細資訊，請參閱節 6.8, RFC 2045 年的 Base64 內容傳輸編碼 MIME (多用途網際網路郵件延伸模組) 第一部分：網際網路郵件內文的格式。

以有效的字元取代URL查詢字串中無效的字元。下表列出無效和有效的字元。

取代這些無效的字元	有了這些有效的字元
+	- (連字號)
=	_ (底線)
/	~ (波狀符號)

將結果值包含在 Set-Cookie 名稱值組的 CloudFront-Signature 標頭中。然後返回到使用標準政策設定已簽章的 Cookie 為 Set-Cookie 新增 CloudFront-Key-Pair-Id 標頭。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用簽署的餅乾

使用自訂原則設定已簽署的 Cookie