阿里云 OSS 存储桶改为 Private 后,绑定域名无法直接访问,但你可以 通过阿里云 CDN(内容分发网络)实现安全加速。
CDN 作为 代理,用户访问的是 CDN 域名,而 CDN 回源到 OSS 以获取私有文件。
步骤 1:开启阿里云 CDN
进入阿里云 CDN 控制台:
👉 CDN 控制台
点击 “域名管理” > “添加域名”
填写加速域名(建议用子域名,例如 cdn.yourdomain.com)
选择“加速类型”:
选择“图片及小文件”
源站类型:选择 “对象存储 OSS”
源站地址:填写 OSS 域名(如 your-bucket.oss-cn-shanghai.aliyuncs.com)
点击 “下一步” 并完成创建
✅ 到此,你已经成功创建了 CDN 加速的域名,但 OSS 仍然是 私有的,CDN 默认无法访问,所以接下来要 设置回源鉴权。
步骤 2:开启 OSS 回源鉴权
默认情况下,OSS 私有 Bucket 不允许 CDN 直接访问,所以需要开启 CDN 访问 OSS 的权限。
进入 OSS 控制台 👉 OSS 控制台
进入 “存储桶列表” > 选择你的 Bucket
点击 “权限管理”
找到 “跨域资源共享(CORS)”,添加规则:
允许的来源(Origin):*(或者 cdn.yourdomain.com)
允许的方法:GET
允许的 Headers:*
暴露的 Headers:*
缓存时间:300(秒)
步骤 3:配置 CDN 回源鉴权
让 CDN 在回源 OSS 时自动添加身份认证,保证 OSS 允许 CDN 访问。
进入阿里云 CDN 控制台 👉 CDN 控制台
找到 “域名管理”,选择刚才创建的 CDN 域名
点击 “配置” > “回源鉴权”
开启 “OSS 私有 Bucket 鉴权”
选择 “签名版本”
推荐使用 “阿里云 CDN 默认签名”
点击“确认”
✅ 这样,CDN 回源 OSS 时,会带上授权信息,OSS 会允许 CDN 访问文件。
步骤 4:前端访问 CDN 加速 URL
完成上述设置后:
用户 访问 CDN 域名(https://cdn.yourdomain.com/yourfile.jpg),CDN 自动回源 OSS 获取文件。
OSS 仍然是私有的,防止直接访问。
CDN 提供加速,减少 OSS 负担,优化性能。
步骤 5(可选):设置防盗链
如果你不希望 别人盗用你的 CDN 图片,可以设置 防盗链:
进入 CDN 控制台 > “域名管理”
找到 “访问控制” > “Referer 防盗链”
开启 “Referer 白名单”
允许访问的域名,例如:
*.abc.com
勾选 “空 Referer 拒绝”,防止盗链。
✅ 这样,只有你的网站可以访问 CDN 资源,其他人无法直接盗用图片。
例:https://zpu.abc.com/cc/L00011005xj.pdf
这个地址直接在地址栏里打开是失败的,
但通过上面白名单的网站内打开就可以下载。
