无依赖接入阿里STS认证权限

已于 2025-01-15 14:22:22 修改
阅读量280 收藏 5
点赞数 3
分类专栏: php 文章标签: php
于 2025-01-15 14:12:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/FightForY/article/details/145157906
版权

1 权限解读

  • 主账号的永久key和secrect请求,泄漏就不安全。
  • 子账号的永久key和secrect请求,泄漏同样不安全,但能分配更小的权限。
  • 子账号+RAM角色,动态获取临时key和secrect,即STS,请求更安全、且能给前端直接使用。

2 环境

  • endpoint:部分api只在特定endpoint上能请求。
  • 创建子账号:后端记住子账号的key和secrect。
  • 创建角色:记住角色ID;往角色上分配需要使用的权限。

3 代码

  • 不依赖官方sdk进行签名加密。
  • 可以此调用其它阿里api。
  • 生成待加密signature时,使用的是更公认的rawurlencode,而不是urlencoderawurlencode使用的是更新的标准,而urlencode是旧的标准。
class ContractOnline
{
    private $redisClient;
    private $aliConfig = [
        'key' => '子账号-key',
        'secret' => '子账号-secret',
        // STS凭证请求地址
        'sts' => [
            'endpoint' => "sts.cn-guangzhou.aliyuncs.com",
            "regionId" => "cn-guangzhou"
        ],
    ];

    public function __construct()
    {
        $this->redisClient = $this->redisConnect();
    }

    private function commonConfig($key = "")
    {
        require(dirname(dirname(__FILE__)).'/Common/config/redis.php');
        $redisConfig = $config;
        require(dirname(dirname(__FILE__)).'/Common/config/config.php');
        $config['redis'] = $redisConfig;

        return $key ? $config[$key] : $config;
    }

    /**
     * redis连接
     * @return Redis
     */
    protected function redisConnect()
    {
        $redisConfig = $this->commonConfig('redis');
        $redis = new Redis();
        $redis->connect($redisConfig['host'], $redisConfig['port']);
        $redis->auth($redisConfig['password']); //密码验证
        $redisConfig['db'] = isset($redisConfig['db'])?$redisConfig['db']:0;
        $redis->select($redisConfig['db']);
        return $redis;
    }

    private function successJson($data = [], $status = 1, $msg = "")
    {
        $res = [
            'status' => $status,
            'data' => $data,
            'msg' => $msg,
        ];
        exit(json_encode($res));
    }

    private function failedJson($msg = "", $status = 0, $data = [])
    {
        $this->successJson($data, $status, $msg);
    }

    /**
     * 发起post请求
     * @param string $url
     * @param array $data
     * @return array
     */
    private function curlPost($url = "", $data = [], $method = "POST", $header = [])
    {
        $ch = curl_init();
        curl_setopt_array($ch, [
            CURLOPT_RETURNTRANSFER => true,
            CURLOPT_SSL_VERIFYHOST => false,
            CURLOPT_SSL_VERIFYPEER => false,
        ]);
        !empty($header) && curl_setopt($ch, CURLOPT_HTTPHEADER, $header); // 一维数组
        if (strtoupper($method) == "POST") {
            curl_setopt($ch, CURLOPT_POST, 1);
            curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
        } else if ($method == "GET") {
            $url = $url . "?" . http_build_query($data);
        }
        curl_setopt($ch, CURLOPT_URL, $url);

        $response = curl_exec($ch);
        $err = curl_error($ch);
        curl_close($ch);

        // 处理响应
        if ($response === false) {
            return ['status' => 0, 'msg' => $err];
        }
        return ['status' => 1, 'data' => $response];
    }

    /**
     * 阿里云公共:构建公共的参数、签名
     * @param string $action  // 服务api名
     * @param string $version // 服务版本号
     * @param string $method // 所需的角色arn
     * @param array $otherParams // 不同接口下,独特的参数
     * @return array
     */
    private function buildParams($action = "", $version = "", $method = "GET", $otherParams = [])
    {
        // 文档:https://help.aliyun.com/zh/sdk/product-overview/rpc-mechanism?spm=api-workbench.api_explorer.0.0.1fce6b25W8Ei4H
        $params = [
            'AccessKeyId' => $this->aliConfig['key'],
            'Action' => $action, // api对应的标识
            'Version' => $version, // api对应的版本号
            'Format' => 'JSON',
            'Timestamp' => gmdate('Y-m-d\TH:i:s\Z'), // 格林尼治时间
            'SignatureMethod' => 'HMAC-SHA1', // 加密方式,当前固定HMAC-SHA1
            'SignatureVersion' => '1.0',  // 加密版本,当前固定为1.0
            'SignatureNonce' => uniqid(), // 请求序列号,不重复即可
        ];
        $params = array_merge($params, $otherParams);
        // 1.参数按键字母字典排序,并构建请求参数
        ksort($params);
        $specialUrlEncode = function ($value) {
            return str_replace(array("+", "*", "%7E"), array("%20", "%2A", "~"), rawurlencode($value));
        };

        $sortedQueryString = "";
        foreach ($params as $key => $value) {
            $sortedQueryString .= "&" . $specialUrlEncode($key) . "=" . $specialUrlEncode($value);
        }
        $sortedQueryString = substr($sortedQueryString, 1);

        // 2.生成签名
        $stringToSign = "{$method}&". $specialUrlEncode("/") ."&" . $specialUrlEncode($sortedQueryString);
        $signature = base64_encode(hash_hmac('sha1', $stringToSign, $this->aliConfig['secret'] . '&', true));
//        $signature = $specialUrlEncode($signature);
        $params['Signature'] = $signature;
        return $params;
    }

    /**
     * 阿里:RAM用户获取角色临时凭证STS,以临时使用角色上的权限
     */
    private function getFaceSTS()
    {
        $rkey = "contract:ali:face-sts";
        $expire = 3600;
        $asData = [];
        if (!$this->redisClient->exists($rkey)) {
            $action = 'AssumeRole';
            $version = '2015-04-01';
            $params = [
                'DurationSeconds' => $expire, // 有效时间
                'RoleSessionName' => 'contract-online', // 自定义调用角色时的名称,以便日志采集、分析
                'RoleArn' => 'acs:ram::xxxxxxx:role/face-check',
                'RegionId' => $this->aliConfig['sts']['regionId'],
            ];
            $method = "GET";
            $params = $this->buildParams($action, $version, $method, $params);
            $url = 'https://' . $this->aliConfig['sts']['endpoint'];
            $res = $this->curlPost($url, $params, $method);
            if (!$res['status']) {
                $this->failedJson($res['msg']);
            }
            // 处理请求
            $data = json_decode($res['data'], true);
            if ($data['Message']) {
                $this->failedJson($data['Message']);
            }
            // 提取数据:提取key、secrect和token
            $data['Credentials']['AccessKeyId'] && $asData['key'] = $data['Credentials']['AccessKeyId'];
            $data['Credentials']['AccessKeySecret'] && $asData['secret'] = $data['Credentials']['AccessKeySecret'];
            $data['Credentials']['SecurityToken'] && $asData['token'] = $data['Credentials']['SecurityToken'];
            $this->redisClient->setex($rkey, $expire, json_encode($asData));
        } else {
            $res = $this->redisClient->get($rkey);
            $asData = $res ? json_decode($res, true) : [];
        }
        return $asData;
    }
}
阿里云ACP认证知识点整理
背锅神童的博客
06-22 1344
阿里云公有云产品使用介绍
阿里云OSS对象存储完全开发手册(一篇学会阿里云OSS所有知识点)
最新发布
hao_kkkkk的专栏
03-25 2522
阿里云对象存储OSS(Object Storage Service)是一款海量、安全、低成本、高可靠的云存储服务,可提供99.9999999999%(12个9)的数据持久性,99.995%的数据可用性。多种存储类型供选择,全面优化存储成本, 可以使用阿里云提供的 API、SDK 接口或者 OSS 迁移工具轻松地将海量数据移入或移出阿里云 OSS。RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点。
阿里云STS临时令牌操作OSS云存储(java)
一起coding,一起嗨。
03-30 5315
使用STS临时访问凭证访问OSS https://help.aliyun.com/document_detail/100624.html?spm=a2c4g.11186623.2.19.515649e8zOIom1#concept-xzh-nzk-2gb 一、引入依赖 <dependency> <groupId>com.aliyun.oss</groupId> <artifactId>al
使用阿里云STS临时token完成阿里云OSS图片上传(Springboot+Vue)
wyhhQAQ的博客
10-20 3897
本篇文章基于Springboot+Vue+Vant使用阿里云OSS图片上传功能,后端Springboot使用阿里云STS临时token安全认证,前端使用vue来上传阿里云OSS图片。
PHP&Laravel通过阿里STS临时授权访问OSS
donjan的博客
04-15 2074
文章目录创建子账号创建策略创建角色安装SDK获取临时凭证 创建子账号 云账号登录RAM控制台:https://ram.console.aliyun.com 创建一个可以编程访问的子账号,记录下AccessKey ID和AccessKey Secret。 并添加AliyunSTSAssumeRoleAccess权限 创建策略 访问:https://ram.console.aliyun.com/policies 创建策略,这里有很多系统策略,都具有比较高的权限,咱们需要创建一个只具备上传到OSS和访问的策略
阿里云OSS上传、下载、STS授权(Java篇)
如果人生就像一场梦,那就希望你做个好梦!
08-05 6674
声明:步骤比较长,如果你已经配置好OSS,直接拉到最后代码实现部分 1.首先申请oss,创建一个Bucket。 1)创建Bucket 2)红框内容建议选项,其余的随意 3)创建完成找到Bucket列表,选择刚创建的Bucket 4)绑定自己的域名(这一步可选,为了后期访问资源路径的统一性,记得打开CNANE选项) 2.创建RAM角色 1) 断点续传上传阿里云文档说明https://help.aliyun.com/document_detail/84785.html?spm=a2c4g.11186
OSS的STS模式授权案例
weixin_52501704的博客
04-26 792
虽然STS模式下accessKeyId、accessKeySecret和stsToken都是会变化的,但在有效期内(约3~5分钟)我们仍然可以接管对应的存储桶。通过STS可以返回临时的AK\SK和STSToken,这些信息可以直接发给临时用户用来访问OSS。某云提供的权限管理系统主要包含两部分,RAM(资源访问管理)和STS(安全认证服务),以满足。浏览器f12找一下源码位置,发现是阿里云oss,断点代码,使用网页上传功能触发。对STS模式的角色如“oss-admin”,进行精确授权,仅允许访问上传路径。
阿里云STS临时授权访问OSS报NoSuchBucket
weixin_49456013的博客
08-19 9823
1.pom文件中添加依赖 <dependency> <groupId>com.aliyun</groupId> <artifactId>aliyun-java-sdk-sts</artifactId> <version>3.0.0</version> </dependency> <dependency
使用SpringBoot将图片上传至阿里云OSS
Baridhu的博客
12-01 3444
阿里云对象存储OSS是一款海量、安全、低成本、高可靠的云存储服务,本文使用SpringBoot整合OSS实现文件上传至OSS功能。
Spring Boot集成阿里云视频点播服务的过程记录
积跬步,至千里。
10-01 4368
使用Spring Boot集成阿里云视频点播服务,对接其上传SDK、服务端SDK、播放器SDK,最终完成一个Demo演示。
阿里云sts
qmister
11-15 757
阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。 Installing composer require whereof/aliyun-sts -v Example $accessKeyID = '***********'; $accessKeySecret = "
UWB安全数据通讯STS-加密、身份认证
Covondpeng的博客
10-18 1527
STS 字段由一组伪随机二进制相移键控 (BPSK) 调制脉冲组成, BPSK 调制序列的伪随机性由密码安全的伪随机数发生器确保,由于序列的伪随机性,没有周期性,因此允许接收器产生可靠、高度准确和无伪影的信道延迟估计。Responder用SYNC和SFD同步收到的UWB信息,STS则用于生成1个防止篡改的时间戳,PHR包含了关于PSDU的内容,PSDU包含了有效信息,就是Initiator真正想传输的数据。Responder用SYNC同步收到的UWB信息,STS用于生成一个防篡改的时间戳。
阿里云STS临时令牌操作OSS云存储
qq_41561195的博客
12-23 2626
阿里云STS临时令牌操作OSS云存储 参考:官方文档1官方文档2 STS获取临时令牌操作OSS云存储 项目集成了swagger2自动接口文档,如未集成,需要将@Api、@ApiOperation等注解去掉 为什么要使用sts去操作? 直接使用账号的权限去操作OSS,账号拥有所有权限,使用RAM创建账号子用户,分离部分权限出来,提高OSS安全性能。 前期准备 阿里云控制台操作步骤 通过OSS SDK...
阿里云sts权限认证是怎么回事,怎样使用
hurry07的博客
08-29 2742
阿里云sts权限认证是怎么回事,怎样使用阿里云sts介绍, 以及各种踩坑官方文档我的理解STS授权有什么不同?功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 阿里云sts介绍, 以及各种踩坑 自己刚看文档配置好了浏览器通过 sts
使用STS授权您的客户端直接访问云存储
weixin_34238642的博客
09-16 957
摘要:当阿里云客户使用云存储服务来保存来自其客户端的用户数据时,现有的解决方案都存在一些问题。针对这一场景及问题,本文介绍了一种轻量级的安全解决方案,即使用STS服务授权客户端直接访问云存储。本文阐述了STS方案的基本原理,并且结合具体应用场景,对实施步骤进行了详细的描述。 1 引言 假设您是阿里云客户,您打算使用公共云服务来构建应用...
阿里云OSS STS图片文件上传之坑
Capricorncd
06-21 3298
阿里云OSS STS图片文件上传之坑,无法通过multipartUpload上传Blob数据或转换后的Buffer数据
阿里云OSS使用STS临时授权访问
热门推荐
yangkangv的博客
03-19 1万+
阿里云控制台配置 1. 创建用户 2. 创建角色 3. 创建权限策略 此为权限策略的脚本,表示对your-Bucket-name有读写权限,修改your-Bucket-name成你的Bucket。 { "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "oss:DeleteObje...
阿里云STS认证,golang版本
xo19882011的专栏
08-22 1087
记录一下生成sts临时令牌的过程: package main import ( "fmt" "github.com/aliyun/alibaba-cloud-sdk-go/services/sts" ) // regionID 是 cn-beijing / cn-shenzhen 这类型的,目前具体支持哪几种还没找到,根据自己的oss区域可以尝试一下 const regionID = "cn-beijing" // RAM创建在右上角用户->访问控制中->用户->生成appID及
阿里云OSS使用STS权限控制某个目录遇到的坑
luoqiang616477607的专栏
11-06 3339
今天使用OSS的STS权限控制某个目录,中途遇到了很多坑,这里就不细说,网上有很多相关的文章,但是完整的流程我没有找到,这里根据自己的踩坑之路,进行完整的总结,详细描述整个流程。 1、首先需要登录阿里云账号,到控制台的"访问控制",首先添加一个STS用户。 点击确定后,记录下key和秘钥。 2、新建RAM角色 3、给上面添加RAM角色添加权限,同时记录下ARN,后面需要用到(比较关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值