Protección de recursos de Azure Content Delivery Network con la autenticación por tokens

Información general

La autenticación de tokens es un mecanismo que permite impedir que la red de entrega de contenido de Azure sirva recursos a clientes no autorizados. La autenticación de tokens se realiza normalmente para evitar el hotlinking del contenido, en el que un sitio web diferente, como un foro de mensajes, utiliza tus recursos sin permiso. La vinculación activa puede repercutir en los costos de la entrega de contenido. Al habilitar la autenticación de tokens en la red de entrega de contenido, las solicitudes se autentican mediante el servidor perimetral de red de entrega de contenido antes de que la red de entrega de contenido entregue el contenido.

Cómo funciona

La autenticación por tokens verifica que un sitio de confianza genera las solicitudes, para lo que se requiere que estas contengan un valor de token con información codificada sobre el solicitante. El contenido solo se proporciona al solicitante cuando la información codificada cumple los requisitos; de lo contrario, las solicitudes se deniegan. Puede configurar los requisitos mediante el uso de uno o varios de los siguientes parámetros:

• País o región: permite o deniega las solicitudes que se originan en los países o regiones especificados por su código de país o región.
• Dirección URL: permitir solo las solicitudes que coinciden con el recurso o la ruta de acceso especificados.
• Host: permitir o denegar las solicitudes que usan los hosts especificados en el encabezado de la solicitud.
• Origen de referencia: permitir o denegar las solicitudes procedentes del origen de referencia especificado.
• Dirección IP: permitir solo las solicitudes cuyo origen es una dirección IP específica o subred IP concretas.
• Protocolo: permitir o denegar las solicitudes en función del protocolo usado para solicitar el contenido.
• Fecha de expiración: asignar un período de fecha y hora para asegurarse de que un vínculo solo es válido durante un tiempo limitado.

Para obtener más información, consulte los ejemplos de configuración detallados de cada parámetro en Configuración de la autenticación de tokens.

Arquitectura de referencia

En el diagrama de flujo de trabajo siguiente se describe cómo la red de entrega de contenido usa la autenticación de tokens para trabajar con la aplicación web.

Lógica de validación de tokens en el punto de conexión de red de entrega de contenido

En el diagrama de flujo siguiente se describe cómo Azure Content Delivery Network valida una solicitud de cliente cuando la autenticación de tokens está configurada en el punto de conexión de red de entrega de contenido.

Configuración de la autenticación por tokens

1. En Azure Portal, vaya al perfil de red de entrega de contenido y seleccione Administrar para iniciar el portal complementario.

   

2. Coloca el puntero sobre HTTP Large y selecciona Token Auth en la función emergente. Después puede configurar la clave y los parámetros de cifrado como sigue:

   1. Cree una o varias claves de cifrado. Una clave de cifrado distingue mayúsculas de minúsculas y puede contener cualquier combinación de caracteres alfanuméricos. No se permite ningún otro tipo de caracteres, incluidos espacios. La longitud máxima es de 250 caracteres. Para asegurarse de que las claves de cifrado son aleatorias, se recomienda crearlas mediante la herramienta OpenSSL.

      La herramienta OpenSSL tiene la sintaxis siguiente:

      rand -hex <key length>

      Por ejemplo:

      OpenSSL> rand -hex 32

      Para evitar el tiempo de inactividad, cree un elemento principal y una clave de copia de seguridad. Una clave de copia de seguridad proporciona un acceso ininterrumpido a su contenido cuando se actualiza la clave principal.

   2. Escriba una clave de cifrado única en el cuadro Clave principal y, opcionalmente, escriba una clave de copia de seguridad en el cuadro Clave de copia de seguridad .

   3. Seleccione la versión de cifrado mínima para cada clave en la lista Versión de cifrado mínima y, a continuación, seleccione Actualizar:

      • V2: Indica que la clave se puede usar para generar tokens de la versión 2.0 y 3.0. Use esta opción solo si está realizando la transición de una clave de cifrado de la versión 2.0 heredada a una clave de la versión 3.0.
      • V3: (Recomendado) Indica que la clave solo se puede usar para generar tokens de la versión 3.0.

   4. Use la herramienta de cifrado para configurar los parámetros de cifrado y generar un token. Con la herramienta de cifrado, puede permitir o denegar las solicitudes según la fecha de expiración, el país o región, el origen de referencia, el protocolo y la dirección IP del cliente (con cualquier combinación). Aunque no hay ningún límite en el número y la combinación de parámetros que se pueden combinar para formar un token, la longitud total de un token está limitada a 512 caracteres.

      

      Escriba los valores de uno o varios de los parámetros de cifrado siguientes en la sección Encrypt Tool (Cifrar herramienta ):

      Nombre del parámetro	Descripción
      ec_expire	Asigna una fecha de expiración a un token, tras la cual el token expira. Las solicitudes que se presenten después de la fecha de expiración se deniegan. Este parámetro utiliza una marca de tiempo UNIX, que se basa en el número de segundos transcurridos desde la época UNIX estándar de `1/1/1970 00:00:00 GMT`. (Puede usar herramientas en línea para la conversión entre la hora estándar y la hora UNIX). Por ejemplo, si desea que el token expire en la fecha 12/31/2016 12:00:00 GMT, introduzca el valor de marca de tiempo UNIX, 1483185600.
      ec_url_allow	Permite adaptar tokens para un recurso o ruta de acceso concretos. Restringe el acceso a las solicitudes cuya dirección URL comience con una ruta de acceso relativa específica. Las direcciones URL distinguen mayúsculas de minúsculas. Incluya varias rutas de acceso separadas por comas y no agregue espacios. En función de los requisitos, puede configurar otros valores para proporcionar distintos niveles de acceso. Por ejemplo, para la dirección URL http://www.mydomain.com/pictures/city/strasbourg.png, estas solicitudes se permiten para los siguientes valores de entrada: Valor de entrada `/`: se permiten todas las solicitudes. Valor de entrada `/pictures`: se permiten las siguientes solicitudes: `http://www.mydomain.com/pictures.png` 'http://www.mydomain.com/pictures/city/strasbourg.png' 'http://www.mydomain.com/picturesnew/city/strasbourgh.png' Valor de entrada `/pictures/`: solo se permiten las solicitudes que contengan la ruta de acceso `/pictures/`. Por ejemplo, `http://www.mydomain.com/pictures/city/strasbourg.png`. Valor de entrada `/pictures/city/strasbourg.png`: solo se permiten solicitudes para esta ruta de acceso y recurso específicos.
      ec_country_allow	Solo permite solicitudes que se originen en uno o más países o regiones especificados. Se deniegan las solicitudes originadas en los demás países o regiones. Utilice un [código ISO 3166 de país o región](/previous-versions/azure/mt761717(v=azure.100)) de dos letras para cada país o región, sepárelos con una coma y no agregue espacios. Por ejemplo, si solo desea permitir el acceso desde Estados Unidos y Francia, escriba `US,FR`.
      ec_country_deny	Deniega solicitudes que se originan en uno o más países o regiones especificados. Se permiten las solicitudes originadas en todos los demás países o regiones. La implementación es la misma que el parámetro ec_country_allow . Si hay un código de país o región en los parámetros ec_country_allow y ec_country_deny , el parámetro ec_country_allow tiene prioridad.
      ec_ref_allow	Solo se permiten solicitudes del origen de referencia especificado. Un origen de referencia identifica la dirección URL de la página web vinculada al recurso que se solicita. No incluya el protocolo en el valor del parámetro. Se permiten los siguientes tipos de entrada: Un nombre de host o un nombre de host y una ruta de acceso. Varios orígenes de referencia. Para agregar varios orígenes de referencia, sepárelos por comas y no agregue ningún espacio. Si especifica un valor para el origen de referencia, pero no se envía la información de este en la solicitud debido a alguna configuración del explorador, la solicitud se deniega de forma predeterminada. Solicitudes en blanco o en las que falta información sobre el origen de referencia. De forma predeterminada, el parámetro ec_ref_allow bloquea estos tipos de solicitudes. Para permitir estas solicitudes, escriba el texto "falta" o escriba un valor en blanco (mediante el uso de una coma final). Subdominios. Para permitir subdominios, escriba un asterisco (\*). Por ejemplo, para permitir todos los subdominios de `contoso.com`, escriba `*.contoso.com`. Por ejemplo, para permitir el acceso a las solicitudes de www.contoso.com, todos los subdominios de contoso2.com y las solicitudes sin origen de referencia o con un origen de referencia en blanco, introduzca www.contoso.com,*.contoso.com,missing.
      ec_ref_deny	Deniega solicitudes del origen de referencia especificado. La implementación es la misma que el parámetro ec_ref_allow . Si un remitente está presente en los parámetros ec_ref_allow y ec_ref_deny , el parámetro ec_ref_allow tiene prioridad.
      ec_proto_allow	Solo se permiten solicitudes del protocolo especificado. Los valores válidos son `http`, `https` o `http,https`.
      ec_proto_deny	Deniega solicitudes del protocolo especificado. La implementación es la misma que el parámetro ec_proto_allow . Si un protocolo está presente en los parámetros ec_proto_allow y ec_proto_deny , el parámetro ec_proto_allow tiene prioridad.
      ec_clientip	Restringe el acceso a la dirección IP del solicitante especificado. Se admiten tanto el protocolo de Internet versión 4 (IPv4) como el protocolo de Internet versión 6 (IPv6). Puede especificar una única dirección IP de solicitud o direcciones IP asociadas a una subred específica. Por ejemplo, `11.22.33.0/22` permite solicitudes desde las direcciones IP 11.22.32.1 a 11.22.35.254.

   5. Una vez que haya terminado de escribir los valores de parámetros de cifrado, seleccione una clave para cifrar (si ha creado una clave principal y una clave de copia de seguridad) en la lista Clave para cifrar .

   6. Seleccione una versión de cifrado en la lista Versión de cifrado : V2 para la versión 2 o V3 para la versión 3 (recomendado).

   7. Seleccione Cifrar para generar el token.

      Una vez generado el token, se muestra en el cuadro Token generado . Para usar el token, anéxelo como una cadena de consulta al final del archivo en la ruta de acceso de la dirección URL. Por ejemplo: http://www.domain.com/content.mov?a4fbc3710fd3449a7c99986b.

   8. Opcionalmente, pruebe el token con la herramienta de descifrado para poder ver los parámetros del token. Pega el valor del token en el cuadro Token para descifrar. Seleccione la clave de cifrado que se va a usar en la lista Clave para descifrar y, a continuación, seleccione Descifrar.

      Una vez descifrado el token, sus parámetros se muestran en el cuadro Parámetros originales .

   9. También puede personalizar el tipo de código de respuesta que se devuelve cuando se deniega una solicitud. Seleccione Habilitado y, a continuación, seleccione el código de respuesta de la lista Código de respuesta . El nombre del encabezado se establece automáticamente en Ubicación. Seleccione Guardar para implementar el nuevo código de respuesta. Para determinados códigos de respuesta, también debe escribir la dirección URL de la página de error en el cuadro Valor de encabezado . El código de respuesta 403 (Prohibido) está seleccionado de forma predeterminada.

3. En HTTP Grande, seleccione Motor de Reglas. Utilice el motor de reglas para definir las rutas de acceso que se van a aplicar la característica, habilitar la característica de autenticación por tokens y habilitar otras funcionalidades relacionadas con la autenticación por tokens. Para obtener más información, consulte Referencia del motor de reglas.

   1. Seleccione una regla existente o cree una para definir el recurso o la ruta de acceso para los que desea aplicar la autenticación por tokens.
   2. Para habilitar la autenticación de tokens en una regla, seleccione Autenticación de token en la lista Características y, a continuación, seleccione Habilitado. Seleccione Actualizar si va a actualizar una regla o Agregar si va a crear una regla.

4. En el motor de reglas también puede habilitar otras características relacionadas con la autenticación por tokens. Para habilitar cualquiera de las siguientes características, selecciónela en la lista Características y, a continuación, seleccione Habilitado.

   • Código de denegación de autenticación de token: Determina el tipo de respuesta que se devuelve a un usuario cuando se deniega una solicitud. Las reglas establecidas aquí invalidan el código de respuesta establecido en la sección Control de denegación personalizado en la página de autenticación basada en tokens.

   • Ignorar mayúsculas y minúsculas en la autenticación de tokens de la URL: Determina si la dirección URL utilizada para validar el token es sensible a mayúsculas y minúsculas.

   • Parámetro de autenticación de token: Cambia el nombre del parámetro de cadena de consulta de autenticación de token que aparece en la dirección URL solicitada.

5. Puede personalizar el token accediendo al código fuente en GitHub. Idiomas disponibles:

   • C
   • C#
   • PHP
   • Perl
   • Java
   • Pitón

Características y precios del proveedor de Azure Content Delivery Network

Para obtener información sobre las características, consulte Características del producto de Azure Content Delivery Network. Para obtener información sobre los precios, consulte Precios de Content Delivery Network.