About Token Authentication
最終更新日:2026-04-22 16:25:24
トークン認証は、IP許可リスト/ブロックリスト、Referer、Cookie、User-Agentチェックなどの従来のアクセス制御手段と比較して、セキュリティを強化する洗練されたコンテンツ保護戦略です。この方法では、タイムスタンプや暗号化された文字列などの認証情報をコンテンツURLに直接埋め込みます。ユーザーがコンテンツ配信ネットワーク (CDN) にコンテンツをリクエストする際、有効な認証詳細を含むURLを提示する必要があります。その後、CDNはこの情報を検証してアクセスの許可または拒否を決定し、コンテンツURLの不正利用を効果的に防ぎます。
How It Works
一般的なトークン認証プロセスには、以下の主要なコンポーネントが含まれます:
- Content Management Server: このサーバーは、事前定義されたルールに基づいて認証済みURLを生成する役割を担います。これらのルールには、特定の認証アルゴリズムとキーが含まれます。生成されると、これらのURLはクライアントに提供されます。
- User (Client): ユーザーまたはクライアントアプリケーションは、コンテンツ管理サーバーから提供された認証済みURLを使用して、CDNエッジサーバーに目的のコンテンツをリクエストします。
- CDN Edge Server: 認証済みURLを含むリクエストを受信すると、CDNエッジサーバーは検証チェックを実行します。これには、タイムスタンプや署名など、埋め込まれた認証情報を検証してリクエストの正当性を判断することが含まれます。検証結果に基づいて、CDNはリクエストされたコンテンツを提供する、またはアクセスを拒否します。
Example Scenario
http://example.com/test.jpg にある画像ファイルを保護する必要があるシナリオを考えてみましょう。URL認証プロセスは次のように進行します:
- Request for Authenticated URL: ユーザー (クライアント) は、コンテンツ管理サーバーに対して保護されたコンテンツのURLをリクエストします。
- Authenticated URL Generation: コンテンツ管理サーバーは、設定されたルール (認証アルゴリズムとキーを含む) に基づいて、トークンが埋め込まれた時間制限のあるURLを生成します。例:
http://example.com/test.jpg?token=123。この認証済みURLがユーザーに返されます。 - Content Request from CDN: クライアントは、生成された認証済みURLを使用してCDNエッジサーバーにコンテンツをリクエストします。
- Authentication and Content Delivery: CDNエッジサーバーはリクエストを受信し、URL内に存在する認証情報 (この場合は
tokenパラメータ) を検証します。認証が成功した場合、CDNはクライアントにtest.jpg画像を提供します。認証に失敗した場合 (例:トークンが無効または期限切れの場合) 、CDNはリクエストを拒否します。
How to Set Up Token Authentication
- CDNetworks Console にログインし、該当する製品を選択します。
- Configuration に移動し、設定したいドメインを見つけて、 Edit Configuration
をクリックします。 - 左側のサイドバーで Access Control - Token Authentication に移動し、 Modify をクリックします。
- ニーズに基づいて、 Apply to 、 Authentication Mode およびその他の設定を構成します。
Apply to
通常、URL認証が適用されるリクエストの範囲を定義できます。一般的なオプションは以下の通りです:
| 設定 | 説明 |
|---|---|
| All Requests | 指定されたドメインに対するすべてのタイプのリクエストにトークン認証を適用します。 |
| Only Homepage | http://domain/ または https://domain/ などのドメインのルートディレクトリにのみ適用されます。 |
| Specified File Type | 特定のタイプのファイルにのみ適用されます。左側の定義済みファイルタイプから選択するか、カスタムファイルタイプを定義できます。複数のカスタムタイプはセミコロン ; で区切ります(例: jpg;png )。 |
| Specific Directory | 特定のディレクトリ配下のリクエストに適用されます。たとえば、 /file/abc/ は http://domain/file/abc/* 配下のすべてのコンテンツに適用されます。注意:ディレクトリは / で始まり / で終わる必要があり、文字、数字、および一部の特殊文字(アンダースコア、ハイフン、パーセント記号、ドット)のみを含めることができます。複数のディレクトリは改行で区切る必要があります。 |
Advanced Scope Conditions
Advanced Scope Conditions を使用して、ルールの範囲をさらに絞り込むことができます。これにより、基本的な Apply to と交差して正確な制御が可能になります。1つまたは複数のパラメータを選択し、基本の Apply to と AND の関係を形成して、特定のリクエストやレスポンスをターゲットにします。
| パラメータ | 説明 |
|---|---|
| Exclude File Type | 特定のファイルタイプを除外します。複数のタイプは ; で区切ります。 |
| Exclude Custom File Type | 必要に応じてカスタムファイルタイプを除外します。複数のタイプは ; で区切ります。 |
| Exclude URL (Regex) | 正規表現を使用してURLを除外します(例: .*\.jpg$ )。 |
| Exclude IPs and CIDR Blocks | 例: 1.1.1.0/24:1.1.0.1/32 。 |
Authentication Mode
CDNetworks Consoleで利用可能な5つの認証モードから、それぞれ異なるニーズや状況に合わせて選択できます:
How to Verify Token Authentication
トークン認証設定の複雑さを考慮すると、本番運用への影響を避けるために、まずは設定をステージング環境にデプロイすることをお勧めします。正確であることが確認されたら、本番環境に適用できます。ステージング環境への設定のデプロイに関する詳細なガイダンスについては、 Verify Configurations Through Pre-Deployment をご参照ください。
さらに、CDN Consoleで利用可能な Token Generator 
を使用して、テスト用のトークン認証パラメータを自動生成し、認証パラメータがCDNエッジサーバーを正常に通過するかどうかを検証できます。このツールの使用方法の詳細については、 Token Generator をご覧ください。