Uma URL assinada contém uma assinatura criptográfica que comprova que foi gerada por parte autorizada. Qualquer URL modificada ou falsificada é rejeitada.
Para uma API de imagem, a assinatura (normalmente HMAC-SHA256) é gerada no servidor com base nos parâmetros e um segredo. O servidor de imagens verifica a assinatura antes de processar: impossível a terceiros criar variantes arbitrárias, protegendo seus custos e integridade das URLs.
Pontos-chave
Assinatura HMAC
Um resumo calculado a partir dos parâmetros e um segredo compartilhado, impossível de forjar sem a chave.
Chave no lado do servidor
O segredo nunca sai do backend — nunca assine no JavaScript do navegador.
Custos protegidos
Sem URL válida, nenhuma transformação é servida — seu tráfego segue fiel ao uso real.