CloudFront签名URL与签名Cookie：边缘鉴权与访问控制

# CloudFront签名URL与签名Cookie：边缘鉴权与访问控制 ## 概览 - 签名 URL 与 Cookie 在请求端验证访问策略与有效期；适合私有分发与下载。 - 与源站鉴权与日志审计协同。 ## 技术参数（已验证） - 组成：`Policy`（自定义/简单）、`Signature`、`Key-Pair-Id`；根据资源与时间窗口生成。 - 策略：限制路径、IP 与时间；采用最小权限与短期有效；轮换密钥。 - 部署：在边缘分发校验；源站可追加校验与记录；配合 S3 私有桶与 OAI/OAC。 - 兼容：对移动与跨域下载进行测试；与 Range 请求协同。 - 观测：记录命中与拒绝；审计泄漏与滥用。 ## 实战清单 - 为私有内容统一签名与策略；在泄漏时快速轮换与撤销。 - 结合下载器与断点续传优化体验；避免过度限制导致失败。 - 保留审计与可视化面板；定期演练。