[新产品/新功能] Amazon CloudFront 现已支持 CBOR Web Tokens 和 Common Access Tokens

**发布时间:** 2025-11-20 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-cbor-tokens ---  [新产品/新功能] Amazon CloudFront 现已支持 CBOR Web Tokens 和 Common Access Tokens   # 产品功能分析 ## 新功能/新产品概述 Amazon CloudFront 现已在其边缘节点通过 **CloudFront Functions** 提供对 **CBOR Web Tokens (CWT)** 和 **Common Access Tokens (CAT)** 的原生支持，旨在实现高效、安全的令牌认证与授权。 - **核心定义**: - **CWT**: 一种基于 **Concise Binary Object Representation (CBOR)** 编码的Web令牌，作为 **JSON Web Tokens (JWT)** 的紧凑二进制替代方案，可显著减小令牌体积。 - **CAT**: **CWT** 的扩展标准，增加了包括URL模式、IP限制和HTTP方法限制在内的精细化访问控制能力。 - **技术原理**: 该功能允许开发者在CloudFront全球边缘网络上，利用 **CloudFront Functions** 直接执行令牌的验证、生成和刷新逻辑。令牌的安全性通过 **CBOR Object Signing and Encryption (COSE)** 协议得到保障。整个处理过程在*亚毫秒级*时间内完成，无需回源。 - **目标用户与市场定位**: 主要面向对性能和带宽效率有极致要求的应用，例如需要每秒验证数百万观众令牌的直播视频平台，以及对数据传输量敏感的物联网（IoT）应用。同时，它也为需要在多CDN环境中统一部署认证策略的企业提供了标准化解决方案。 ## 关键客户价值 - **极致的边缘性能与认证效率** - 将认证逻辑前移至CloudFront边缘节点，利用 **CloudFront Functions** 的*亚毫秒级*执行能力，极大降低了认证延迟，为大规模、低延迟的访问请求提供了性能保障。 - **CWT** 的二进制格式相比 **JWT** 更为紧凑，有效减少了网络传输开销，提升了带宽效率，尤其适用于移动端和IoT设备。 - **简化的多CDN安全管理** - **CWT** 和 **CAT** 提供了一种标准化的内容认证方法，使客户能够在跨越CloudFront及其他CDN提供商的多CDN架构中，部署统一的认证逻辑，避免了为每个平台进行定制化配置的复杂性。 - 例如，媒体公司可使用单个 **CAT** 令牌来控制不同订阅等级、地理位置的用户访问权限，并在所有CDN上实现一致的验证，无需调用应用源站。 - **增强的精细化访问控制** - 通过 **CAT**，企业可以实施更复杂的业务规则，如限制特定视频内容只能由特定IP地址段、通过GET方法访问，从而在边缘层实现更强大的安全防护，并卸载源站的业务逻辑处理压力。 - **提升开发灵活性与安全性** - 开发者可以在 **CloudFront Functions** 中实现完整的令牌生命周期管理，包括验证传入令牌、生成新令牌以及实现刷新逻辑。 - 功能与 **CloudFront Functions KeyValueStore** 无缝集成，为密钥管理提供了安全、便捷的解决方案，确保了签名和加密密钥在边缘的安全存储和使用。 ## 关键技术洞察 - **采用二进制令牌格式优化性能** - 该功能的核心创新点在于引入了 _基于 **CBOR** 编码的 **CWT**_。与传统的基于文本的 **JWT** 相比，其二进制特性带来了显著的体积优势和解析效率提升，这在计算资源和网络带宽受限的边缘环境中至关重要。 - **推动多CDN认证标准化** - **CAT** 在 **CWT** 基础上定义了一套通用的访问控制声明（如URL、IP等），这不仅是功能上的扩展，更重要的是它为多CDN环境下的内容认证提供了一个可互操作的标准化框架，有助于解决厂商锁定问题。 - **构建完整的边缘安全原语** - AWS通过整合 **COSE**（用于签名和加密）、**CloudFront Functions**（用于逻辑执行）和 **KeyValueStore**（用于密钥管理），在边缘提供了一套端到端的、高性能的安全解决方案。这使得开发者无需依赖外部服务或回源，即可在最靠近用户的位置构建完整的安全认证流程。 ## 其他信息 - **成本效益**: 在所有CloudFront边缘节点上使用此功能无需支付额外费用。 - **全球可用性**: 该功能已在全球所有CloudFront边缘站点上线。   # Amazon CloudFront 现已支持 CBOR Web 令牌和通用访问令牌 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-cbor-tokens](https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-cbor-tokens) **发布时间:** 2025-11-20 **厂商:** AWS **类型:** WHATSNEW --- # Amazon CloudFront 现已支持 CBOR Web 令牌和通用访问令牌发布于: 2025 年 11 月 20 日 Amazon CloudFront 现已支持 [CBOR Web 令牌 (CWT)](https://datatracker.ietf.org/doc/html/rfc8392) 和通用访问令牌 (Common Access Tokens, CAT)，允许用户通过 CloudFront Functions 在 CloudFront 边缘站点实现安全的、基于令牌的身份验证和授权。CWT 采用 [简明二进制对象表示法 (Concise Binary Object Representation, CBOR)](https://datatracker.ietf.org/doc/html/rfc8949) 编码，是 JSON Web 令牌 (JSON Web Tokens, JWT) 的一种紧凑二进制替代方案。而 CAT 则在 CWT 的基础上进行了扩展，增加了 URL 模式、IP 限制和 HTTP 方法限制等额外的细粒度访问控制 (fine-grained access control) 功能。这两种令牌类型都使用 [CBOR 对象签名和加密 (CBOR Object Signing and Encryption, COSE)](https://datatracker.ietf.org/doc/html/rfc8152) 来增强安全性，并允许开发人员直接在边缘以亚毫秒级的执行时间实现轻量级、高性能的身份验证机制。 CWT 和 CAT 非常适用于性能关键型应用，例如需要每秒验证数百万次观众访问令牌的直播视频平台，或对带宽效率要求极高的物联网 (IoT) 应用。这些令牌还为跨多 CDN 部署的内容身份验证提供了一种单一、标准化的方法，从而简化了安全管理，并避免了为每个 CDN 提供商进行独特配置的需要。例如，一家媒体公司可以使用 CAT 创建令牌，根据订阅级别、地理位置和设备类型来限制对特定视频内容的访问。所有验证均可在 CloudFront 和其他 CDN 提供商之间保持一致，无需向后端应用发起网络请求。借助 CWT 和 CAT 支持，您可以在 CloudFront Functions 中验证传入的令牌、生成新令牌并实现令牌刷新逻辑。该功能与 CloudFront Functions KeyValueStore 无缝集成，以实现安全的密钥管理。 CloudFront Functions 对 CWT 和 CAT 的支持已在所有 CloudFront 边缘站点提供，无需额外费用。要了解有关 CloudFront Functions CBOR Web 令牌支持的更多信息，请参阅 [Amazon CloudFront 开发人员指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cwt-support-cloudfront-functions.html) 。