技术讨论 | 如何绕过并利用Bucket的上传策略和URL签名

最新推荐文章于 2024-09-11 16:53:20 发布
转载 最新推荐文章于 2024-09-11 16:53:20 发布 · 1k 阅读 · 1

本文探讨了Bucket上传策略及URL签名的原理与利用方法,包括如何发现与利用潜在的安全漏洞,提出了有效的防御建议。

简介

Bucket上传策略是一种直接从客户端向Bucket(存储空间)上传数据的便捷方式。通过上传策略中的规则以及与访问某些文件的相关逻辑,我们将展示如何拿到完整的Bucket对象列表,同时能够修改或删除Bucket中的现有文件。

什么是Bucket策略

(如果你早已经知道了什么是Bucket策略和URL签名,那么你完全可以直接跳转到下面的“利用”部分)

Bucket策略是一种将内容直接上传到基于云端的大型存储区(如Google云端存储或AWS S3)的安全方式。我们的想法是创建一个定义有检验是否允许文件上传的策略,随后使用密钥对策略进行签名,并将策略和签名提交给客户端。

然后,客户端可以直接将文件上传到Bucket,Bucket存储会验证上传的内容和策略是否匹配。如果匹配,则上传文件。

上传策略与URL预签名

在开始之前,我们需要明确指出有多种方法可以访问Bucket中的对象。使用POST请求访问Bucket时,POST策略(AWS)和POST对象 (谷歌云存储)方式只允许上传内容。

另一种称为URL预签名(AWS)或URL签名(Google云端存储)的方式就不仅仅是可以修改对象。我们是否可以PUT、DELETE或GET 默认的私有对象,这取决于预签名逻辑定义的HTTP方式。

在定义内容类型(Content-Type)、访问控制和文件上传时,URL预签名与POST策略相比会相对宽松。使用错误的自定义逻辑也会更频繁地执行URL签名,如下所示。

这里有很多允许某人访问上传内容的方法,其中一个是AssumeRoleWithWebIdentity ,类似于POST策略,区别在于你可以获得由预定义的IAM Role(身份和访问管理角色)创建的临时安全凭证(ASIA *)。

如何发现上传策略或URL签名

这是使用POST方法的上传请求,如下所示:

该策略使用的是ba64编码的JSON,如下所示:

{

 "expiration":"2018-07-31T13:55:50Z",

 "conditions": [

 {"bucket": "bucket-name"},

 ["starts-with", "$key", "acc123"],

 {"acl": "public-read"},

 {"success_action_redirect":"https://dashboard.example.com/"},

 ["starts-with", "$Content-Type", ""],

 ["content-length-range", 0, 524288]

 ]

}

在AWS S3上的类似于下面的URL签名:

https://bucket-name.s3.amazonaws.com/?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIA…

就像谷歌云存储一样:

HTTPS ://storage.googleapis.com/uploads/images/test.png?Expires=1515198382&GoogleAccessId=example%40example.iam.gserviceaccount.com&Signature=dlMA---

上传策略的利用

如果我们想要发现策略中的错误,并对其进行利用,那么我们需要定义一些不同的属性:

l  Access = Yes-在上传后,我们是否可以以某种方式访问​​该文件。在策略中ACL是否被定义为public-read或者能够接收上传文件的URL预签名。在策略中上传但未定义ACL的对象默认为私有。

l  Inline=Yes-如果你能够修改content-disposition文件,那么我们可以在内联中提供内容。如果策略中根本没有定义,那么文件则以内联方式提供。

1. starts-with $key是空的

例:

["starts-with", "$key",""]

可以上传文件到Bucket中的任何位置,覆盖任何对象。你可以将key属性设置为任何内容,并且接受该策略。

注意:在某些情况下,这种利用很困难。例如,只有一个Bucket用于上传从未公开的或以后会使用的名为UUID(通用唯一标识符)的对象。在这种情况下,我们不知道要覆盖哪些文件,并且无法知道Bucket中其他对象的名称。

2. starts-with $key不包含路径分隔符或为所有用户都用相同的路径

例:

["starts-with", "$key","acc_1322342m3423"]

如果策略的 $key部分包含一个已定义的部分,但是没有路径分隔符,我们可以将内容直接放在Bucket的根目录中。如果 Access=Yes和 Inline=Yes,并取决于content-type的类型(参见#3和#4),我们则可以通过安装AppCache-manifest来窃取其他用户上传的URL(AppCache中的相关漏洞是由我和 @avlidienbrunn以及@filedescriptor分别发现的)。

如果上传对象的路径对所有用户都是相同的,那这个问题也一样适用。

3. starts-with $Content-Type为空

例:

["starts-with","$Content-Type", ""]

如果Access=Yes 和Inline=Yes,我们就可以在Bucket域上传text/html并提供此服务,如#2所示,我们可以使用它来运行javascript或在此路径上安装AppCache-manifest,这意味着在此路径下访问的所有文件都将泄露给攻击者。

4.使用starts-with $Content-Type定义内容类型

例:

["starts-with","$Content-Type", "image/jpeg"]

这个和#3一样,我们可以添加一些内容来使第一个内容类型成为一个未知的mime类型,随后追加text/html,文件将被认作为text/html类型:

Content-type: image/jpegz;text/html

此外,如果S3-Bucket托管在公司的子域中,通过利用上述策略,我们还可以通过上传HTML文件在域上运行javascript。

最有意思的部分是在沙盒域上通过上传内容来利用网站。

使用自定义逻辑利用URL签名

URL签名是在服务器端签名并提交给客户端,以允许它们上传、修改或访问内容。最常见的问题是网站构建自定义逻辑来检索它们。

首先,要了解怎么利用已签名的URL,重要的是要知道在默认情况下,如何获取Bucket根目录下已签名的且可以显示Bucket的文件列表的GET-URL。这和使用公开列表Bucket的情况基本相同,不同之处在于此Bucket肯定包含其他用户的私有数据。

请记住,当我们知道Bucket中的其它文件时,我们也可以为它们请求URL签名,这就让我们拥有了访问私密文件的权限。

因此,我们目标始终是尝试获根目录或已知的另一个文件。

错误的自定义逻辑的示例

以下是一些示例,其中逻辑通过发出已签名的GET-URL实际暴露了Bucket的根路径。

1.使用get-image这个端点对Bucket进行完全可读访问

有以下要求:

https://freehand.example.com/api/get-image?key=abc&document=xyz

提供以下URL签名:

https://prodapp.s3.amazonaws.com/documents/648475/images/abc?X-Amz-Algorithm=AWS4-HMAC-SHA256…

但是,端点在签名之前对URL进行了规范化,因此通过遍历路径,我们实际上可以指向Bucket的根目录:

https://freehand.example.com/api/get-image?key=../../../&document=xyz

结果:

https://prodapp.s3.amazonaws.com/?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIA…

这个URL提供了Bucket中全部文件的列表。

2.因正则表达式解析URL签名请求,导致可完全获取读权限

这是另外一个示例,以下请求是在网站上的端点上获取所需的对象的URL签名:

 

 

POST /api/file_service/file_upload_policies/s3_url_signature.jsonHTTP/1.1

Host: sectest.example.com

 

{"url":"https://example-bucket.s3.amazonaws.com/dir/file.png"}

 

它会解析URL并将其部分附加到URL签名,你将会得到这个:

{"signedUrl":"https://s3.amazonaws.com/example-bucket/dir/file.png?X-Amz-Algorithm=AWS4-HMAC..."}

可以使用s3.amazonaws.com上的子域和路径访问S3-bucket。在这种情况下,服务器端逻辑规则会将URL更改为基于路径的Bucket URL。

通过欺骗URL extraction,你可以发送如下内容:

{ “url” :“https://.x./example-bucket”}

它会返回一个URL签名,如下所示:

{"signedURL":"https://s3.amazonaws.com//example-beta?X-Amz-Algorithm=AWS4-HMAC..."}

此URL将显示Bucket的完整文件列表。

3.滥用临时的URL签名链接

这个示例来自两年前,是我发现的第一个和URL签名有关的问题。

在网站上,当你上传文件时,你首先在 secure.example.com下创建了一个随机密钥:

 

 

POST /api/s3_file/ HTTP/1.1

Host: secure.example.com

 

{"id":null,"random_key":"abc-123-def-456-ghi-789","s3_key":"/file.jpg","uploader_id":71957,"employee_id":null}

 

然后,你会返回:

 

HTTP/1.1 201 CREATED

 

{"employee_id":null,"s3_key": "/file.jpg", "uploader_id": 71957,"random_key":"abc-123-def-456-ghi-789", "id": null}

 

这意味着,以下的URL:

https://secure.example.com/files/abc-123-def-456-ghi-789

然后会重定向到:

Location:https://example.s3.amazonaws.com/file.jpg?Signature=i0YZ…

然后,可以发送以下的s3_key内容:

"random_key":"xx1234","s3_key":"/"

之后,会有以下URL:

https://secure.example.com/files/xx1234

重新定向到:

Location:https://example.s3.amazonaws.com/?Signature=i0YZ…

至此,我现在就拥有了他们Bucket的文件列表。该网站使用一个Bucket来存储他们的所有数据,包含他们拥有的每一个文档和文件。当我尝试提取文件列表时,发现Bucket非常庞大,文件数量可以用百万来计算。因此我直接将这个漏洞通报给了该公司,以下是他们的回复:

建议

应根据每个文件上传请求或至少对每个用户生成一个对应的上传策略。

l  $key应该有完整的定义:有一个唯一的、随机的名称以及随机的路径。

l  最好将content-disposition定义为attachment。

l  acl 应该优先选择 private 或者不要定义。

l  content-type应该明确设置(不使用 starts-with)或者不要设置。

另外,永远不要基于用户的请求参数创建URL签名,否则就会出现如上所示的情况。

我见过的最糟的情况是:

https://secure.example.com/api/file_upload_policies/multipart_signature?to_sign=GET%0A%0A%0A%0Ax-amz-date%3AFri%2C%2009%20Mar%202018%2000%3A11%3A28%20GMT%0A%2Fbucket-name%2F&datetime=Fri,%2009%20Mar%202018%2000:11:28%20GMT

你确实给了它你要签名的请求,并且它也回复了你所要求的签名:

0zfAa9zIBlXH76rTitXXXuhEyJI =

这可以用来制作获取URL签名的请求:
 

curl -H "Authorization: AWSAKIAJAXXPZR2XXX7ZXXX:0zfAa9zIBlXH76rTitXXXuhEyJI=" -H "x-amz-date:Fri, 09 Mar 2018 00:11:28 GMT" https://s3.amazonaws.com/bucket-name/

相同的签名方法不仅仅适用于S3,它使得你能够将你想要的每一个请求签署到AWS-key被允许使用的任何AWS服务。

对象存储OSS 客户端签名直传的安全风险解决方法
qq_33163046的博客
06-07 3635
本文探讨了OSS客户端签名直传的安全风险及解决方法。我们对比了OSS与文件系统,分析了客户端直传的风险,提出了多种解决方案,如服务端生成STS临时访问凭证签名URL。通过A企业案例展示了实际应用效果,提供了多种OSS安全最佳实践。希望本文能帮助读者更好地理解应对OSS的安全挑战,保护数据安全。
上传文件或者图片到OSS
12-21
6. **访问文件**:上传后的文件可以通过OSS生成的URL进行访问,这通常是一个包含Bucket名、对象Key签名的HTTP链接。 在实际开发中,你可能还需要考虑错误处理、断点续传、文件分片上传等高级特性,以确保上传的...
如何破解叮当快药的签名算法
老鹰的博客
07-31 1346
最近刚接到一个爬取叮当快药app的需求,刚好看到 叮当快药(http://m.ddky.com/)的所有Ajax请求,都有一个sign参数(如下图所示) 如果修改了URL中的参数,服务端就会提示签名参数错误(如下图所示)。 这是一种现在很常见的反采集策略签名验证机制),在手机App中的应用尤为广泛。如果有做过开发的都知道,前后端对接接口的时候会有又连接参数加密。本人之前有做过有py...
curl提示错误“ Only one auth mechanism allowed; only the X-Amz-Algorithm query parameter”的解决办法
caiyiii的专栏
03-24 1004
错误出现的场景是这样的: curl 访问url1的时候(header里面设置了Authorization认证),curl1做了重定向到了curl2, 由于curl1的Authorization header 会带到curl2 header里面,curl2的url参数中 也有认证信息,导致出现错误提示:“Only one auth mechanism allowed; only the X-Amz-Algorithm query parameter” 。 问题原因: 这个是由于低版本curl会导致出现
SpringBoot整合MinIO实现文件的分片上传、秒传、续传!
卷不动的程序员
09-10 2565
概述 Spring Boot整合Minio后,前端的文件上传有两种方式: 文件上传到后端,由后端保存到Minio 这种方式好处是完全由后端集中管理,可以很好的做到、身份验证、权限控制、文件与处理等,且可以做一些额外的业务逻辑,比如生成缩略图、提取元数据等。 缺点也很明显: 所以,实际上我们不会把文件传到后端,而是直接传给Minio,其实这也符合OSS服务的使用方式。 延迟时间高了,本来花费上传一次文件的时间,现在多了后端保存到Minio的时间 后端资源占用,后
【译】教你用16个小时从0构建一个Rust应用
K_Ohaha的博客
02-24 1248
我们在2019年的最后两天,参加了Prodigy Education举办的黑客马拉松,许多团队聚在一起努力将他们的想法变成现实。 我们之中有的人只是单纯为了好玩,有的是想学一些新的知识,还有些人可能是想证明一些概念或想法。 我在过去几周总是被动的获取Rust相关信息或使用Rust的代码,因此我认为hackathon是一次学习Rust的绝佳时机。 hackathon的时间紧迫性使我更加快速的去学习,...
CMU开源:多目标人体关键点实时检测
热门推荐
稻草人的专栏
08-19 2万+
OpenPose是一个利用OpenCVCaffe以C++写成的开源库,用来实现多线程的多人关键点实时检测,作者包括Gines Hidalgo,Zhe Cao,Tomas Simon,Shih-En Wei,Hanbyul Joo以及Yaser Sheikh。 即将加入(但是已经实现!)身体+手势+人脸估计展示: 尽管该库使用了Caffe,但是代码还是很容易向
Django中的文件上传与存储管理技术
# 1. 文件上传的原理与流程 ## 1.1 文件上传流程概述 ...在Django中,文件上传处理通常涉及到使用`forms`模块创建文件上传表单,定义视图函数接收处理上传的文件,以及配置`MEDIA_ROOT``MEDIA
从CSV到API的自动化流程:如何通过程序打开上传数据
重点介绍了CSV文件解析、RESTful API调用、数据清洗转换等关键技术,探讨了自动化上传流程的设计与优化策略。同时,文章分析了在微服务架构下如何构建高效、稳定、安全的数据传输链路,提出了针对错误处理、权限...
JAI图像库在云计算环境中的部署策略:云原生应用的设计与实践
![JAI图像库在云计算环境中的部署...特别关注了如何利用容器化、微服务架构自动化部署流水线来提高JAI图像库的性能可扩展性。文章最后展望了云计算JAI图像库的发展趋势,包括边缘计算的结合人工智能技术的融
springboot整合minio返回url,携带X-Amz的作用,getObjectUrlgetPresignedObjectUrl的区别
qq_39109264的博客
09-11 1096
这两个方法区别在于,getObjectUrl直接返回文件地址,而getPresignedObjectUrl会返回。的某个版本已被删除,只保留了getPresignedObjectUrl,而这里用的。生成url过期后会失效。但是,把这个url后面的参数去掉,这个url仍然能使用。方法去获取,但是getObjectUrl从minio的。开头的加密、签名、过期时间等信息作为url参数。配置类MinioConfig.class。关于获取返回文件地址的url,可以通过。的版本,两个方法都还有。
新浪云存储 php,新浪云存储SCS | API文档
weixin_42149145的博客
03-12 562
概述新浪云存储服务主要提供以下三类API:Service操作Bucket操作Object操作与此同时,为提高用户使用的安全性,新浪云存储服务还通过使用签名来验证请求者的身份。如需了解签名算法的详细信息,请参考《签名算法》。如需了解ACL的详细信息,请参考《ACL》。如涉及BucketObject的命名规划,请参考《约束与限制》。注意:以下接口中所使用的示例都是在需要使用签名情况下;如果相关访问资...
golang对接阿里云私有Bucket上传图片、授权访问图片
qq_31001061的博客
04-03 2698
golang对接阿里云私有Bucket上传图片、授权访问图片 1、为什么要设置私有bucket 公共读写:互联网上任何用户都可以对该 Bucket 内的文件进行访问,且向该 Bucket 写入数据。这有可能造成您数据的外泄以及费用激增,若被人恶意写入违法信息还可能会侵害您的合法权益 私有:只有该存储空间的拥有者可以对该存储空间内的文件进行读写操作,其他人无法访问该存储空间内的文件 鉴于以上,公司要求将bucket设置为私有,只有授权的用户才能访问 2、准备 2.1 创建RAM账户 开通OSS后账户,创
minio spring boot starter封装组件,基于minio-java最新版
kangaroo的博客
09-24 2567
新封装了一个组件,是对官方minio-java sdk的一个简单封装,提供了俩个方法,供前端直传文件使用。
http断点续传原理:http头 Range、Content-Range
lianghongge的专栏
02-10 2893
转自:http://www.liqwei.com/network/protocol/2011/886.shtml http断点续传原理:http头 Range、Content-Range 所谓断点续传,也就是要从文件已经下载的地方开始继续下载。在以前版本的 HTTP 协议是不支持断点的,HTTP/1.1 开始就支持了。一般断点下载时才用到 Range Con
oss2模块aliyun oss连接
weixin_34261415的博客
01-19 1366
安装oss pip install oss2 确认您已经理解OSS 基本概念,如Bucket、Object、Endpoint、AccessKeyIdAccessKeySecret等。 下面介绍如何使用OSS Python SDK来访问OSS服务,包括查看Bucket列表,上传文件,下载文件,查看文件列表等。 默认这些程序是写在一个脚本文件里,通过Python程序可以执行。且,后面的例子可...
阿里云新建对象存储Bucket配置自定义域名,配置cdn,配置cdn的ssl证书
前路无畏的博客
03-10 4225
说明: A阿里云账户为开通oss账户,开通cdn账户。 B阿里云账户为域名ssl证书的账户 1. 新建Bucket 点击新建: 注意最后的加速是会收费的,可以参考官方文档。不加速也可以。 填写相关信息,创建成功后为: 授权对bucket的访问权限: 私有的话,需要通过access_keysecret_key访问。 上传(可以拖拽过去,或者扫描本地图片上传)以上图片后可以访问: 至此bucket完成 2. 绑定域名 2.1.通过原始的阿里云Bucket 域名可以访问图片,但是不能再浏览器中预览,只
amazon V4鉴权
09-05 3434
Signature Version 4 Signing Process
s3 miniIo 文件预签名地址 是干什么用的
最新发布
08-02
<think>首先,用户的问题是关于S3兼容服务中MiniIO的预签名文件地址的用途作用。用户说:"我想了解S3兼容服务中预签名地址在MiniIO中的用途作用",问:"请问S3兼容服务中MiniIO的预签名文件地址用途"。 我需要参考系统提供的引用。引用包括: - 引用[1]: MinIO是一款与Amazon S3云存储服务兼容的开源对象存储服务器。它允许应用程序配置为与MinIO交互,作为S3的替代方案,存储非结构化数据。 - 引用[2]: 四.minio前端获取签名地址直传minio文件服务器(前端直传):https://blog.youkuaiyun.com/xixiyuguang/article/details/119571051 1.概述 1.1.需求。这似乎是一个链接到一篇文章,讨论如何在前端获取签名地址直接上传到MinIO文件服务器。 - 引用[3]: 总结市场占有率、成本、兼容性、部署灵活性安全性,强调MinIO与S3的兼容性。 用户的问题具体是关于预签名地址在MinIO中的用途作用。预签名地址(Pre-signed URLs)在S3兼容服务中是一个常见功能,用于生成临时可访问的URL,允许用户上传或下载对象而无需AWS凭证。 从引用[2]中,它提到"minio前端获取签名地址直传minio文件服务器",这直接相关,因为它涉及使用签名地址进行前端直传。签名地址很可能就是预签名URL。 所以,我需要基于这些引用构建回答。 系统级指令: - 所有行内数学表达式使用$...$格式。但在这个上下文中,可能没有数学表达式,所以我可以忽略。 - 独立公式使用$$...$$单独成段。同样,可能不需要。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如[^1]。 用户可见层指令: - 回答结构清晰,帮助用户逐步解决问题。 - 尽量保证回答真实可靠。 我的回答结构应该包括: 1. 解释什么是预签名地址(Pre-signed URLs)。 2. 在MinIO中预签名地址的用途作用。 3. 如何生成使用它们。 4. 相关好处,如安全性便利性。 5. 引用提供的资料。 最后,生成相关问题。 步骤: 1. **介绍预签名地址**:解释预签名URL是S3兼容服务中的一个功能,允许临时访问对象。 2. **在MinIO中的用途**: - 上传:允许用户直接上传文件到MinIO而无需暴露凭证。 - 下载:允许临时下载私有对象。 - 其他操作:如删除或复制对象。 3. **作用**: - 安全性:避免在客户端存储凭证。 - 便利性:简化前端集成,如Web应用。 - 临时性:URL有有效期,增强安全性。 4. **引用支持**:使用引用[1][2]。引用[1]介绍MinIO的兼容性,引用[2]直接提到前端获取签名地址直传。 5. **生成相关问题**:在回答后添加相关问题。 回答结构: - 开头:直接回答问题。 - 主体:逐步解释。 - 结尾:总结或过渡到相关问题。 使用中文。 确保引用自然添加。例如,在提到兼容性或直传时添加[^1]或[^2]。 最终,相关问题应基于主题。</think>### S3兼容服务中MinIO预签名文件地址的用途作用 在S3兼容服务(如Amazon S3)中,预签名地址(Pre-signed URLs)是一种安全机制,允许临时访问存储对象(如文件)而无需提供完整的身份验证凭证。MinIO作为与S3兼容的开源对象存储服务器,完全支持这一功能[^1]。预签名地址在MinIO中的核心用途是**实现临时、安全的文件上传下载操作**,同时简化客户端集成。下面我将逐步解释其具体用途作用,帮助您全面理解。 #### 1. **预签名地址的基本用途** - **临时文件上传**:预签名地址允许客户端(如Web前端或移动应用)直接上传文件到MinIO存储桶,而无需在客户端暴露MinIO的访问密钥(Access KeySecret Key)。例如,用户可以通过一个前端应用获取预签名URL,然后使用该URL将文件直接上传到MinIO服务器,避免凭证泄露风险[^2]。 - **临时文件下载**:对于私有存储的对象,预签名地址可以生成一个有时效性的URL,让授权用户临时下载文件。这在分享敏感数据(如报告或媒体文件)时特别有用,因为URL在过期后自动失效。 - **其他操作支持**:除了上传下载,预签名地址还可用于删除、复制或查询对象元数据等操作,但上传下载是最常见的场景。 引用[2]中提到,MinIO的前端直传功能正是基于预签名地址实现,它简化了Web应用的文件上传流程,无需后端服务器中转文件数据。 #### 2. **预签名地址的核心作用** - **增强安全性**:预签名地址通过设置有效期(例如几分钟到几小时)限制访问时间,减少未授权访问风险。同时,它避免了在客户端代码中硬编码凭证,符合最小权限原则[^1]。MinIO的S3兼容性确保了与AWS S3相同的安全机制,包括数据加密访问控制[^3]。 - **简化客户端集成**:在Web或移动应用中,开发者可以直接在前端生成使用预签名URL,实现“直传”模式。这减少了后端服务器的负载,因为文件数据不经过应用服务器,而是直接从客户端上传到MinIO[^2]。例如,引用[2]中的案例展示了如何通过MinIO API获取签名地址,用于前端直传。 - **提高灵活性兼容性**:由于MinIO与S3 API兼容,任何支持S3预签名URL的应用程序(如使用AWS SDK的代码)都能无缝迁移到MinIO。这使得预签名地址成为混合云或多云环境中的理想工具,支持在本地部署或私有云中使用[^1][^3]。 - **成本效益**:通过减少后端服务器的数据处理负担,预签名地址可以降低带宽计算成本,特别适合高上传场景(如用户生成内容平台)。 #### 3. **如何在MinIO中使用预签名地址** 生成预签名地址通常通过MinIO的SDK或API实现。以下是简要步骤(以Python示例说明): - **生成上传URL**:使用MinIO客户端库,指定存储桶、对象键有效期。 ```python from minio import Minio from minio.error import S3Error import datetime # 初始化MinIO客户端 client = Minio( "minio.example.com", access_key="your-access-key", secret_key="your-secret-key", secure=True # 使用HTTPS ) # 生成一个有效期1小时的上传签名URL upload_url = client.presigned_put_object( "my-bucket", "my-object.jpg", expires=datetime.timedelta(hours=1) ) print("预签名上传URL:", upload_url) ``` - **前端使用**:获取URL后,前端应用(如JavaScript)可以直接使用该URL上传文件,无需额外凭证。 ```javascript // 示例:使用Fetch API上传文件 const fileInput = document.getElementById('file-input'); const file = fileInput.files[0]; fetch(upload_url, { method: 'PUT', body: file }).then(response => { if (response.ok) console.log("上传成功!"); }); ``` - **注意事项**:URL有效期需合理设置(过短可能导致操作失败,过长增加风险)。MinIO支持自定义策略,如限制IP或HTTP方法,以进一步加固安全[^2]。 #### 4. **优势与适用场景** - **优势**:预签名地址结合了MinIO的部署灵活性(可在本地或云中运行)S3兼容性,提供企业级安全的同时,降低开发复杂度[^3]。它特别适合以下场景: - Web应用的文件上传/下载功能(如社交媒体或CMS系统)。 - 自动化脚本或IoT设备的数据传输。 - 临时共享大型文件(如备份或日志)。 - **局限性**:预签名URL一旦生成,无法中途撤销(除非MinIO服务端配置策略)。因此,建议结合MinIO的访问控制列表(ACL)或桶策略使用[^1]。 总之,MinIO的预签名文件地址主要用于实现安全、临时的文件操作,简化客户端集成,利用S3兼容性降低迁移成本。其核心价值在于平衡安全性便利性,是构建现代对象存储应用的关键工具[^1][^2][^3]。 如果您需要更详细的代码示例或安全配置指南,请提供具体场景!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值