签名机制
为保证API的安全调用,在调用API时阿里云会对每个API请求通过签名(Signature)进行身份验证。无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名信息。概述 RESTful API需要按如下格式在API请求头(request header)中添加 ...
调用方式
用户在访问时,按照下面的方法对请求进行签名处理:使用请求参数构造规范化的请求字符串(Canonicalized Query String)按照参数名称的字典顺序对请求中所有的请求参数(包括文档中描述的“公共请求参数”和给定了的请求接口的自定义参数,...
签名机制
为保证API的安全调用,在调用API时阿里云会对每个API请求通过签名(Signature)进行身份验证。无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名信息。此文档描述了如何计算签名,提供了Java、Python、Go的代码示例。概述 RPC ...
签名机制
为保证API的安全调用,在调用API时,RTC会对每个API请求通过签名(Signature)进行身份验证。无论您使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名信息。签名格式 RESTful API需要按照如下格式在API请求头(RequestHeader)中添加...
签名版本1
生成URL中的签名字符串时,除了将Date参数替换为Expires参数外,仍然包含 CONTENT-TYPE、CONTENT-MD5、CanonicalizedOSSHeaders 等 签名版本1 中定义的Header(请求中虽然仍有Date请求Header,但无需将Date加入签名字符串中)。在URL中包含...
基于JWT的token认证
阿里云API网关在Json Web Token(JWT)这种结构化令牌的基础上实现了一套基于用户体系对用户的API进行授权访问的机制,满足用户个性化安全设置的需求。一、基于token的认证 1.1 简介 很多对外开放的API需要识别请求者的身份,并据此判断所...
用户账号开发指南
一般实现中建议使用安全随机数生成随机字符串,并将申请的 client_id 与登录账号相关联,保证流程2中申请 access_token 时携带的 AuthCode 能且仅能使用一次。生活物联网平台通过HTTP POST方式,向您的App认证服务中发送请求来获取token。...
Webhook管理
URL参数 含义 示例 timestamp 秒级时间戳 1631865523 nonce 32位随机字符串 2e6eceb5737b473284c930c8ef79090e 请求URL示例:{Webhook配置的url}?timestamp=1631865523&nonce=2e6eceb5737b473284c930c8ef79090e Header 含义 说明 X-QA-Hmac...
Webhook管理
URL参数 含义 示例 timestamp 秒级时间戳 1631865523 nonce 32位随机字符串 2e6eceb5737b473284c930c8ef79090e 请求URL示例:{Webhook配置的url}?timestamp=1631865523&nonce=2e6eceb5737b473284c930c8ef79090e Header 含义 说明 X-QA-Hmac...
WAF防护
主机名 IP源地址 主机名 URI URI 路径 URI 查询字符串 URI 指定查询字符串 IP源地址 主机名 URI URI 路径 URI 查询字符串 URI 指定查询字符串 Cookie Cookie 值 国家/地区 洲 引用方 请求方法 SSL/HTTPS HTTP 版本 用户代理 X-Forwarded-...
接入金融级实人认证服务
您需要在应用中接入 金融级实人认证 服务后,才可以调用 金融级实人...添加 RFC3986 规则编码后的参数Signature到规范化请求字符串URL中。后续步骤 设置意愿认证,请参见 设置意愿认证。查询调用明细,请参见 查询调用数据、查询认证记录。
WAF日志字段
防护动作的优先级由高到低依次为:拦截(block)>严格滑块验证(captcha_strict)>普通滑块验证(captcha)>动态令牌验证(sigchl)>JS验证(js)。block final_plugin WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。...
API错误码
isv.INVALID_JSON_PARAM 参数格式错误,请修改为字符串值 原因:参数格式错误,不是合法的JSON格式,修改为字符串值。解决方案:请在参数 TemplateParam 中指定正确的JSON格式字符串,比如 {"code":"123"}。isv.BLACK_KEY_CONTROL_LIMIT 黑...
支持的检测规则
输入验证:如邮件命令注入、Json注入、LDAP操纵、跨站点请求伪造等;依赖包漏洞检测 现代企业常用开源组件,开源依赖提供方通常没有较多的预算进行安全性测试,黑客的主要攻击目标也是开源包内的漏洞。为了杜绝安全隐患,企业需要做到以下...
访问限制
支持黑名单和白名单两种模式,访客对资源发起请求后,请求到达CDN 节点,节点会根据用户预设的防盗链黑名单或白名单进行过滤,符合规则可顺利请求到视频数据;若不符合,请求会被拒绝,并返回403响应码。配置后会自动添加泛域名支持,例如...
访问控制
简介 访问控制是在云端配置视频资源的访问策略,达到基本的保护目的,具有使用门槛低(仅云端配置不需要额外开发)、快速生效等优点,主要手段有:Referer黑白名单 User-Agent黑白名单 IP黑白名单 说明 User-Agent黑白名单,由于配置繁琐且...
签名机制
其中AccessKeyID是访问者身份,AccessKeySecret是加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密谨防泄露。更多详情,请参见 创建AccessKey。概述 RESTful API需要按如下格式在API请求头(request header)中添加 ...
API调用方式
字符编码:请求及返回结果都使用UTF-8字符集进行编码。说明 为了便于进行开发,阿里云还提供Java、PHP、Python、.NET、Node.js、Go语言的SDK开发包,可以免去拼接HTTPS请求和对签名算法进行编码的麻烦。公共参数 公共请求参数 公共请求参数...
通过OpenAPI获取Token
计算得到的签名:#签名串 AKIktdPUMCV12fTh667BLXeuCtg=URL编码后的结果 AKIktdPUMCV12fTh667BLXeuCtg%3D 计算签名后,将签名的键值对用符号=连接,并使用符号&添加到第 1 步获取的请求字符串中,作为HTTP GET请求参数,发送到服务端,获取...
构造请求
添加根据RFC3986规则编码后的参数 Signature 到规范化请求字符串URL中。代码示例 示例一:参数拼接法 以调用 DescribeKeywordLib 查询词库为例。假设您获得了 AccessKeyID=testid 以及 AccessKeySecret=testsecret,签名流程如下所示:构造...
签名版本1
如果AccessKey ID已激活,但OSS判断用户的请求发生签名错误,则返回403 Forbidden错误,并在返回的response中显示正确的用于验证加密的签名字符串。您可以根据OSS的response来检查自己的签名字符串是否正确。返回示例如下:?xml version="1...
添加服务域名
加速域名指源站接入DCDN后用户实际访问的域名,您需要将加速域名添加到DCDN并配置源站信息,再将加速域名的DNS记录指向DCDN提供的CNAME地址,即可实现全站加速。前提条件 您已经拥有稳定运行的业务服务器(即源站)和域名。说明 当目标加速...
CDN配置管理
EMAS Serverless支持CDN配置,通过设置跨域校验、URL鉴权、Referer防盗链、IP黑/白名单、UA黑/白名单来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户,提升CDN的安全性。操作步骤 登录 EMAS管理控制台。查找您的项目,单击项目,...
应用安全
服务器被入侵 5 SQL注入 敏感数据大批量泄露 拖库 6 任意URL重定向 钓鱼 诈骗 敏感信息泄露 7 XSS(跨站脚本攻击)登录仿冒 敏感信息泄露 敏感操作执行 8 CSRF(客户端请求伪造攻击)敏感操作执行 9 登录接口爆破 服务器入侵
语音审核增强版多语言服务
seed String 否 abc*随机字符串,该值用于回调通知请求中的签名。由英文字母、数字、下划线(_)组成,不超过64个字符。由您自定义,用于在接收到内容安全的回调通知时校验请求由阿里云内容安全服务发起。说明 当使用callback时,该字段...
API 概览
其中 AccessKey 用于标识访问者的身份,SecretKey 是用于加密签名字符串和服务器端验证签名字符串的密钥,出于安全考虑,请务必严格保密。签名算法 签名采用 HmacSHA1 算法。Java 签名算法参考 public static void main(String[]args)...
添加加速域名
例如,有A、B两个源站,A源站的优先级为主,B源站的优先级为备,则用户请求通过阿里云 CDN 回源时会优先回源到A源站,如果A源站出现故障,将会回源到B源站,当A源站恢复正常后会从B源站切换回A源站。权重 当多个源站的优先级相同时,阿里云...
功能特性
加速区域修改 源站配置 阿里云CDN支持的源站类型包括OSS域名、IP、源站域名和函数计算域名,每种源站类型都支持配置多个源站地址。多源站场景下,支持设置源站的主备优先级和权重,实现负载均衡。源站配置 IPv6开关 通过开启IPv6开关,IPv6...
DescribeProtectionModuleRules
调用DescribeProtectionModuleRules查询指定WAF防护功能模块(包括Web入侵防护、数据安全、Bot管理、访问控制或限流、网站白名单等模块)的规则配置记录。使用说明 本接口用于分页查询指定WAF防护功能模块(包括Web入侵防护、数据安全、Bot...
基础术语
常量字符串加密(H5)将字符串阵列化集中放置、并可进行加密存储,使代码中不出现明文字符串,避免被全局搜索字符串的方式定位到入口点。D 代码压缩(H5)去除 JavaScript 代码中不必要的空格、换行等内容,或把一些可能公用的代码进行处理...
如何控制随机字符串的长度?
ROS可以通过使用AssociationProperty中的AutoCompleteInput自动生成随机字符串。您可以在模板Parameters的RandomName参数中,设置AssociationProperty为AutoCompleteInput,然后同时设置AssociationPropertyMetadata中的Length、Prefix和...
常见通用问题
服务端读取签名字符串后,收到的请求进行本地签名进行计算,查看与收到的签名是否一致,以此来判断请求是否合法。对客户端到移动网关的请求进行验签,以验证调用者身份保证安全。网关验证,默认打开;如需关闭请在配置文件中设置。网关验签...
全局服务
功能概述 全局服务是一种支持外部服务...签名认证 在全局服务中,签名认证是一种安全机制,用于验证请求的合法性和身份。通过签名认证,可以确保请求来自于合法的发送方,并防止请求被篡改或重放攻击。查看具体内容请参考:签名计算使用指引
配置URL鉴权
在视频点播分发的内容默认为公开资源,用户拿到URL后均可访问,为防止站点资源被恶意下载盗用,除了通过Referer防盗链、IP黑白名单等防控方式,您还可以采用URL鉴权,自行配置校验鉴权URL中的加密串和时间戳,更安全有效地保护源站资源。...
附录
SHA1&SignatureNonce%3DNwDAxvLU6tFE0DVb&SignatureVersion%3D1.0&TimeStamp%3D2012-12-26T10%253A33%253A56Z&Version%3D2013-01-10 以下Java示例代码演示了如何添加公共请求参数、如何构造用请求参数构造规范化请求字符串,以及如何构造...
Bot管理
通过配置Bot管理,您可以设置对应的防爬虫规则,为浏览器Web页面或基于iOS/Android原生开发的App(需要您的App集成我们的SDK)提供防爬功能。Bot管理支持您灵活配置对不同特征的请求做爬虫挑战,也支持您直接使用系统内置的爬虫库(搜索...
移动网关常见问题
服务端读取签名字符串后,收到的请求进行本地签名进行计算,查看与收到的签名是否一致,以此来判断请求是否合法。对客户端到移动网关的请求进行验签,以验证调用者身份保证安全。网关验证,默认打开;如需关闭请在配置文件中设置。网关验签...
字符串函数
runoob LPAD(s1,len,s2)在字符串s1的开始处填充字符串s2,使字符串长度达到len 将字符串xx填充到abc字符串的开始处:SELECT LPAD('abc',5,'xx')返回:xxabc LTRIM(s)去掉字符串s开始处的空格 去掉字符串RUNOOB开始处的空格:SELECT LTRIM(...
概述
视频点播提供了完善的内容安全保护机制,您可以根据不同业务场景的安全需求,选择访问限制、URL鉴权、远程鉴权、视频加密和安全下载等服务。简介 完善的内容安全保护机制,可用于防止视频内容不被盗链、非法下载和传播。可以满足不同业务...
公共HTTP头定义
公共请求头 对于访问授权,BatchCompute 采用阿里云通用的签名方式,即请求头部包含特定以”x-acs”开头的字段,通过计算签名和比较签名进行用户验证。其中头部必须包含的字段如下:标准头 Header名称 类型 说明 Authorization 字符串 签名...
- 产品推荐
- 这些文档可能帮助您