Media CDN usa pares de claves criptográficas al firmar solicitudes. Media CDN usa un conjunto de claves para almacenar pares de claves que se usan activamente para firmar solicitudes. Puedes tener hasta tres claves públicas y tres claves compartidas de validación, lo que hace un total de seis claves por conjunto de claves.
También puedes quitar las claves que no se utilicen de un conjunto de claves. Añadir y quitar una clave se denomina rotación de secretos. La rotación de secretos te permite hacer lo siguiente:
- Añade nuevos secretos a un conjunto de claves de forma segura añadiéndolos al conjunto de claves.
- Genera tokens con el secreto correspondiente.
Elimina los secretos antiguos después de que caduque el token más antiguo posible.
Por ejemplo, supongamos que configuras tus tokens de corta duración para que caduquen al cabo de una hora. Después, eliminarías el secreto más antiguo que se haya usado para los tokens de corta duración después de que las nuevas solicitudes sirvan a los usuarios durante una o varias horas.
Antes de eliminar un secreto que no se utilice, comprueba que no se haga referencia a él ni se obtenga para firmar solicitudes de usuario en el servidor de aplicaciones. Si quitas un secreto de un conjunto de claves antes de tiempo, Media CDN no podrá validar las solicitudes asociadas a ese secreto. Los usuarios afectados reciben una respuesta HTTP 403
Forbidden.
Para optimizar el rendimiento, la fiabilidad y el coste de los accesos simultáneos al administrador de secretos, los secretos de tu clave de validación compartida se almacenan en caché durante un máximo de una hora. El almacenamiento en caché de secretos puede provocar que se siga accediendo al token hasta una hora después de que se haya eliminado un secreto de Secret Manager.
Te recomendamos que rotes las claves con regularidad.
Limitaciones conocidas
Media CDN rechaza las solicitudes firmadas con las firmas simétricas que usa Cloud CDN con una respuesta HTTP 403.
Actualmente, Media CDN admite claves simétricas con solicitudes que usan el formato de token y claves a las que hace referencia Media CDN.
Las claves asimétricas deben generarse como pares Ed25519, con una clave privada de 512 bits (64 bytes) y una clave pública de 256 bits (32 bytes). La biblioteca Tink admite la generación de claves, la firma y la validación de firmas Ed25519 con C++, Go, Java y Objective-C.
Las claves asimétricas deben tener las siguientes características:
Estar codificado en base64 con una longitud de 44 bytes (con relleno) o 43 bytes (sin relleno). Se aceptan las formas con y sin relleno de base64.
La clave pública debe estar codificada en formato base64 seguro para URLs. La clave privada puede estar codificada en formato base64 estándar.
Tener una clave privada coincidente.