Una URL firmada contiene una firma criptográfica que demuestra que ha sido generada por una parte autorizada. Toda URL modificada o falsificada es rechazada.
Para una API de imagen, la firma (a menudo en HMAC-SHA256) se calcula en el servidor a partir de los parámetros y un secreto. El servidor de imágenes vuelve a verificar la firma antes de tratar la solicitud: un tercero no puede fabricar variantes arbitrarias, lo que protege sus costos y la integridad de sus URLs.
Puntos clave
Firma HMAC
Un resumen calculado a partir de los parámetros y un secreto compartido, imposible de falsificar sin la clave.
Clave del lado del servidor
El secreto nunca sale del backend — no se firma en el JavaScript del navegador.
Costos protegidos
Sin URL válida, no se sirve ninguna transformación — su transferencia sigue correlacionada a su tráfico real.