跳到主要內容

[野人獻曝] 將Cloudfront的資源加上防外連機制

最近因為 Cloudfront 的流量費用越來越可怕了,
所以牙一咬就決定擋掉圖片的所有外連圖個減少開銷。

Cloudfront 正好有提供 Signed URL 這個玩意可以達成我的要求。

這玩意簡單來說就是在所要求的資源(如:圖片、檔案等)的網址後面多加一串 Query String。
例如:http://www.example.com/a.txt經過改造後會變成http://www.example.com/a.txt?blahblah
而Server只要認那串 Query String 就可以決定是否要出所要求的內容,
就可以控制不必要的外連。

那接著就不提廢話,直接實作吧!

第一步要先到 AWS 的 Security Credentials
然後頁面往下拉找到一個 Key Pairs 的 tab,
接著點擊 Create a new key pair
他會產生一組pem檔並且要求下載,
請把這個檔案下載儲存。
同時頁面上也會顯示一組 Axxxxxxxxxx 的 key ,
請務必把這組字串複製下來。

第二步要寫出一個產生 Signed URL 的 function,
內容大概如下

<?php
/**
  * $resource:要處理的檔案網址  例如http://www.example.com/a.txt
  * $expire:過期的時間,單位是秒,這裡我預設有效時間為一個小時
*/
function create_signed_url ($resource, $expire = 3600)
{
    $aws_key = 'Axxxxxxxx';  // 就是上述所提到的key
    $pem_file = '';   // 剛才下載的pem檔案放置路徑
    $expire_time = time() + $expire;  // 這裡的值是個 Unix timestamp
    // 以下是 Cloudfront 的存取策略,內容基本上是個json string
    // 但是千萬不要用json_encode這個函式去編出內容,因為格式會不一樣
    // 詳細可以參考:
    // 以下是指特定的檔案(即$resource)在$expire_time之後即無法取得內容
    $policy = '{
        "Statement":[{
            "Resource":"' . $resource . '",
            "Condition":{
                "DateLessThan":{
                    "AWS:EpochTime":'. $expire_time . '
                }
            }
        }]
    }';
    // 接下來要利用openssl的相關函式產生所需的簽章內容
    $private_key_content = file_get_contents($pem_file);

    // 先把內容丟到openssl_get_privatekey算出私鑰
    $pkey = openssl_get_privatekey($private_key_content);
    // 接著呼叫openssl_sign取得簽章內容
    // $policy是上面設定的讀取策略,產生的結果會放在$signature中
    openssl_sign($policy, $signature, $pkey);
    // 接著釋放這組key內容
    openssl_free_key($pkey);

    // 然後要真正產生簽章過的URL
    // 請注意:Policy和Signature的內容要用base64_enocde編碼外,還要把特定的三個符號替換掉    // 否則產生的url也會無法取得資源
    return $resource."?".http_build_query(array(
        'Policy'            =>  str_replace(
            array('+', '=', '/'),
            array('-', '_', '~'),
            base64_encode($policy)
        ),
        'Key-Pair-Id'       =>  $aws_key,
        'Signature'         =>  str_replace(
            array('+', '=', '/'),
            array('-', '_', '~'),
            base64_encode($signature)
        ),
    ));

}
?>

然後在網頁上用到該資源的連結/圖片全部用這個function處理後,
輸出的url應該就會有一長串的Query String了。

但是這樣作還不夠,
我們還要進去 Cloudfront 的控制台設定哪些項目需要被限制存取。
所以進入控制台後請選擇目標項目後點擊 Distribution Settings
接著選擇 Behaviors
如果沒意外的話有一組 Path Pattern 為 Default(*) 的項目,
請點擊他後按下Edit。
出現編輯畫面後請往下拉,
找到 Restrict Viewer Access (Use Signed URLs) 並選擇 Yes 後儲存。
這樣這個項目內所有資源就會被限制存取。
(當然也可以設定什麼樣的檔案才要被限制,這個設定可以寫在 Path Pattern 中)

上面的動作做完後,等 Cloudfront 佈署完成後應該就會生效了。
你應該會發現沒加一長串簽章的網址全部都出現 Access Denied 或是其他之類的錯誤訊息,
而有一長串簽章的網址都應該是可以正確讀取,
這樣表示就一切正常了。

留言

張貼留言

這個網誌中的熱門文章

[野人獻曝] 如何實作一個簡單的短網址服務站(前言)

善意提醒: 本系列文隨時有腰斬的可能,若您需要根據本系列文進行實作的話, 請先作好可能會無法繼續下去的心理準備。 ==正文開始== 事前準備項目 一台可以跑 Apache 、 MySQL 、 PHP 的主機 一個看起來還蠻酷的網址 一個不會讓你想砸了它的文字編輯器 一個夠清晰的腦袋 關於第一個和第二個項目, 可以考慮去租一般的虛擬主機, 通常可以一次解決! 第三個項目的話,我個人推薦 Notepad++ 啦, 當然你若有更好的選擇,也可以直接使用! 至於第四個項目,就請施主自求多福了! 第一步 當然先從創造資料庫開始囉(不然你怎麼放那些原始網址資料?), 請打開你的 phpmyadmin , 然後將 這段指令 交給phpmyadmin執行。 注意:如果你是用虛擬主機的話,請不要直接執行那段指令,否則會有出錯的問題。 請先在你的網站控制臺直接創造一個資料庫,再把上述SQL指令中的 CREATE...... 複製下來交給phpmyadmin執行。 如果順利執行這段SQL指令的話,那麼就請你打開你常用的文字編輯器,輸入以下內容: RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^(.*)$ redirect.php?q=$1 [L,QSA] ( 原始內容 ) (......本文待續......)
1 則留言
閱讀完整內容

[野人獻曝] 串接 OpenAI 的 Assistant

你就直接把 Assistant 當成你在 ChatGPT 看到的那些 GPT 玩具吧(?), 只是你可以透過 Assistant API 透過程式化來建立你的 GPT 並與你的網站功能結合。 雖然前面說了「用 Assistant API 」,但實際上其實需要以下三個類型的 API 相互結合才能生出一個 Assistant: Assistants API :設定給助手(?)的指示內容、要使用的模型等資訊。在絕大部分場合下,你通常只需要呼叫一次 Assistant 的 Create 方法一次,此後就可以把回傳的 id 記錄下來後用在其他地方。 Threads API : 建立對話串,這個對話串會與前述的 Assistant 相互結合,讓 Assistant 知道要在這個 Thread 開始監聽訊息,並針對指示做出相應的回覆。 Messages API :將使用者輸入的訊息送到 Thread Runs API :使用者送出訊息後,就要呼叫 Create Run ,讓後端知道有工作要做了 以下是其流程: 先呼叫 Assistant API 的 Create ,記得要拿到回傳中最重要的 id ,這會在接下來的步驟中使用到。如果沒什麼特殊狀況的話你可以把這個 id 持久化保存,之後就不用再重做一次這個步驟。 接著 建立一個新的 Thread ,並取回其中回傳的 id。這個步驟你可能會因應不同的使用的而需要頻繁產生。 以上兩個步驟完成後,接著就可以: 建立一條新的 Message ,並將使用者輸入的內容發送至剛才建立的 Thread 中(透過之前建立 Thread 成功所得到的 id) 接著 呼叫 Run API 的 Create ,將建立 Assistant 與 Thread 成功時所取得的 id 帶入後,就會開始根據使用者輸入的內容開始做分析處理。若是忘記呼叫這個 API 你會發現怎麼內容輸入了但卻沒有任何回應。 然後就可以定期去 呼叫取得 Run 資訊的 API ,看看是不是已經處理完畢。只有在 status 是 completed 時,才代表執行完畢。 執行完畢後,就可以 透過 Message API 取得訊息 。 看吧,很簡單吧? ㄍㄋㄋ,官網沒寫詳細用法只有提供 endpoint 資訊。害我先按照自己的想法寫出一個雛形發覺怎麼跑不起來一邊確認一邊問 ChatGPT...
張貼留言
閱讀完整內容

[野人獻曝]Google Account Authentication實作(上)

Google Account Authentication的實作,可以用GET或POST模式去做出來。其主要的差異性只在於: 使用GET模式時,需要經過帳號持有者登入Google並授權後,才能存取帳號資源。 使用POST模式時,只要由我方將帳號、密碼傳送至Google登入即可。 普遍而言,第一種登入方式較適合一般的Web Application,也是讓使用者不用擔心帳號密碼外洩給不相關第三者的最佳方案。 而後者僅建議在單機應用程式或是自用的應用程式上執行。 關於Google Account Authentication,請參閱 Google的說明 。 使用GET模式取得授權 要使用這種授權方式,僅需要以GET方式將下列參數傳送至: https://www.google.com/accounts/AuthSubRequest。 next(必備參數) 授權成功要redirect的網址。若授權成功時,即會將授權token富於該指定網址後。 如:http://www.mydomain.com/app.php?token=...... scope(必備參數) 要存取的資源網址。 如:http://www.blogger.com/feeds/posts.... session(選用參數) 決定token是否要加密。如果應用程式已經註冊的話,可以選用1作為此參數之值,以便傳送加密的token。 secure(選用參數) 以下是一個請求授權的示例: GET https://www.google.com/accounts/AuthSubRequest?next=http%3A%2F%2Fwww.yourwebapp.com%2Fshowcalendar.html&scope=http%3A%2F%2Fwww.google.com%2Fcalendar%2Ffeeds%2F&session=0&secure=0 若授權成功後,則會將頁面redirect至: GET http://www.yourwebapp.com/showcalendar.html?token=CKF50YzIHxCT85KMAg 接著可以把這個token值存入變數之中,以供使用。 剛才的動作已經取得token(姑且稱為金鑰吧),接下來的只要把這個token以 Authorizati...
11 則留言
閱讀完整內容