使用预签名 URL 共享托管在 Amazon S3 上的视频的最佳做法是什么？

Question

【以下的问题经过翻译处理】 我们正在考虑使用预签名 URL 来共享托管在 Amazon S3 上的视频。在仍然安全地管理端点的同时做到这一点的最佳方法是什么？

有两个用例给我们带来了潜在的安全问题：

* 如果用户正在播放视频，视频开始时会发出不完整的字节范围请求 0- 以下载整个文件。然后，如果用户在视频中跳到前面，而客户端尚未收到文件该部分的字节，则对同一 URL 的另一个请求的字节范围从用户跳到的视频部分开始.
* 如果下载在浏览器中本机下载的中途暂停，并且用户在初始请求过期后恢复下载，则将对剩余内容进行另一个字节范围请求。

要使用预签名 URL 支持这些用例中的任何一个，我们需要在下载期间保持签名有效，从安全角度来看这是一个问题。

是否有处理此问题的最佳做法？

Answer

【以下的回答经过翻译处理】 考虑使用[Amazon CloudFront](https://aws.amazon.com/cloudfront/)，它具有增强的[已签名URL功能](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-signed-urls.html)，如自定义策略。您可以使用自定义策略仅限源IP地址或地址范围的访问，从而允许您更安全地设置签名URL过期之前的较长时间。

有关更多信息，请参见Amazon CloudFront开发人员指南中的[使用自定义策略创建签名URL](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-creating-signed-url-custom-policy.html)。

**注意：**在Amazon CloudFront中使用自定义策略创建签名URL也是管理格式，如HLS/HDS的好方法，因为可以使用通配符字符。

使用预签名 URL 共享托管在 Amazon S3 上的视频的最佳做法是什么？

相关内容