OSS+CDN 除了鉴权怎么防恶意使用，设置超限回源的话， OSS 的流量比 CDN 还贵

老实说，你这种用法何必 CDN，买了辆卡车研究怎么去买菜好停车

@kslr 一个 100M 家宽，写个小脚本，挂一天，1T 就没了，两百多块。除非你及时发现 banIP，要不然你根本没办法，攻击成本太低了，然后你的代价很高。

所以你之前应该秒良心云的那个三年 5m 或者 10m 带宽，然后不限流量的机机，等双十一吧

@kslr 因为 OSS 本身的流量比 CDN 流量贵不少

@boluo 转腾讯云了，腾讯云有客户端单 IP QPS 限制，攻击成本会高很多

@kslr 你这种大概就是在说：车都买了还在乎油耗？

但是我的朋友，世界上不是只有劳斯莱斯这种顶级豪华车，还有奥迪奔驰宝马豪华车，还有丰田本田马自达福特通用等合资车，还有奇瑞吉利比亚迪各种国产货，还有五菱之光神车。

@zn 请反复阅读

@kslr 你意思是 oss+cdn 是
大公司用的，屌丝用户请不要用 oss+cdn ？

@zn 我的意思的合适的场景才能发挥出作用，而不是抱怨问题太多。
最后，请不要抱着主观态度。

@kslr 楼主的用法就是阿里云官方推荐的标准用法，场景非常合适。不知道你从哪里看出来场景不合适？另外楼主并不是抱怨产品不好用，而是希望有一个对单独 IP 进行限制访问频率的功能，这功能能有效防止小人报复，避免意外的巨额支出，这需求非常合理，对钱包不鼓的个体和小企业来说尤其这样。

@zn 这个要谈到目前 CDN 网络的设计以及客户业务的设计上，是一个比较复杂的事情。接下来讨论要牵扯背景知识，你可能不太了解，这个问题我没有兴趣了。 那么总结一下，这是一个“伪需求”。

@kslr 普通小客户就是这种标准用法，阿里云 OSS 存静态文件，阿里云 CDN 做前端负责分发，绑定一下域名就好了，简单好用，怎么复杂了？普通客户就是这么用的。你要是说大客户，那是需要考虑的事情很多，确实复杂。问题是楼主看着像是大客户吗？

@zn 你总是把我放在歧视小客户的位置，也不愿意正视问题。非要嚷嚷着我是小客户，我就这样用。
这我怎么说，那么我可以看看 cdn rate limit 的魔力在那里吗

@kslr 威力？楼上的 @lhx2008 提到一个，一条普通宽带，就可以让你每天多付出几百块钱，一个月多付上万甚至更多，作为一个普通小客户，这是一笔很大的支出。

还有，跟你说个事，国外 vps 价格便宜流量大，竞争对手买个月付几美元的低端 vps，每个月可以帮你跑几十 T 的流量，阿里云流量费大约 0.8 元 /G，我数学不好，你帮算一下价钱？

IP QPS 限制这样的功能有现成的脚本吧？自己加一个 fail2ban 可以吗？