oss 计算sign签名 获取临时token 规范请求字符串

最新推荐文章于 2025-04-30 11:26:37 发布
原创 最新推荐文章于 2025-04-30 11:26:37 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过PHP脚本获取阿里云STS服务的临时访问令牌的方法,详细展示了如何构造请求参数、计算签名并发送HTTP请求以获得包含临时AccessKey、SecretKey及SecurityToken的响应。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

获取临时token

    //获取临时token
    function get_token(){
        $url1='https://sts.aliyuncs.com';
        $array=[
            'Action'=>'AssumeRole',
            'SignatureVersion'=>'1.0',
            'Version'=>'2015-04-01',
            'RoleArn'=>ROLE_ARN, //阿里云角色名称
            'RoleSessionName'=>ROLE_SESSION_NAME, //阿里云获取
            'Format'=>'JSON',
            'Timestamp'=>date('Y-m-d\TH:i:s\Z', time() - date('Z')),
            'AccessKeyId'=>ACCESSKEYID, //阿里云accesskeyid
            'SignatureMethod'=>'HMAC-SHA1',
            'SignatureNonce'=>substr(md5(rand(1, 99999999)), rand(1, 9), 14)
        ];
        $get_sign=get_sign($array,'GET');//获取sign签名 get_sign方法在下方↓
        $array['Signature']=$get_sign['hmac']; //计算完签名之后,将签名放入请求数组
        $uri = http_build_query($array);
        $url = 'https://sts.aliyuncs.com/?'.$uri;
        $data=curl_get($url); // 请求方式与获取sign签名一致 get
        $data=json_decode($data,true);
        return $data??'';
    }

计算签名sign:

    //获取sign
    function get_sign($params,$mothod='GET'){
        //获取签名
        ksort($params); //字典化排序
        $stringToSign=strtoupper($mothod).'&'.percentEncode('/').'&';  //precentEncode规范化请求字符串↓
        $tmp = "";
        foreach ($params as $key => $val) {
            $tmp.='&'.percentEncode($key).'='.percentEncode($val);
        }
        $tmp=trim($tmp,'&');
        $stringToSign = $stringToSign.percentEncode($tmp);
        $key=ACCESS_KEY_SECRET.'&';  //阿里云accesskeysecret
        $hmac=base64_encode(hash_hmac("sha1",$stringToSign,$key,true));//hash_hmac — 使用 HMAC 方法生成带有密钥的哈希值
        return ['hmac'=>$hmac,'stringToSign'=>$stringToSign];
    }

规范化请求字符串

//规范化请求字符串
    function percentEncode($value = null)
    {
        $en = urlencode($value);
        $en = str_replace("+","%20",$en);
        $en = str_replace("*","%2A",$en);
        $en = str_replace("%7E","~",$en);
        return $en;
    }
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
阿里云OSS-web端直传的服务端签名算法
weixin_30571465的博客
05-17 1241
web直传的好处:用户通过浏览器直接上传到阿里云OSS,对web服务器没有压力! 这里的服务端代码仅仅用来计算签名,不处理上传!如果.net服务端直传(支持分片和断点续传),参考OSS .NET SDK(https://help.aliyun.com/document_detail/32090.html) WEB端表单上传,需要签名Signature,通过js计算签名,AccessKeyID...
oss获取临时签证,及获取url】
weixin_56092602的博客
06-15 2142
oss 项目
.Net6+阿里云OSS的STS授权Token获取
最新发布
qq_42012617的博客
04-30 533
在开发种,有些图片的上传,例如用户反馈链接、聊天图片等,走自己的服务器会产生很多的流量费用,阿里为我们考虑到了这一点儿,正好匹配了这一方案。减少我们自己的流量使用,只拿取stsToken授权,再上传文件到阿里的oss,返回地址保存。
Java实现阿里云OSS获取临时签名及操作
SerryYang的博客
08-17 4749
1. 背景说明 详细,请参阅阿里云那官方文档: https://help.aliyun.com/document_detail/31926.html?spm=a2c4g.11186623.6.1737.5f3e3bd36kleqs a. 采用JavaScript客户端直接签名时,AccessKey ID和AcessKey Secret会暴露在前端页面,因此存在严重的安全隐患。因此,OSS提供了服务端签名后直传的方案。 b. 修改OSS的CORS: 登录OSS管理控制台。 单击Bucket列表
Android OSS签名模式上传文件
weixin_42516173的博客
02-04 1105
OSS签名模式上传文件详细版
阿里云OSS签名直传实现(前端、后端踩坑)
Simpier的博客
11-20 8322
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、OSS签名直传是什么?1.概念2.优点二、后端代码1.请求OSS签名三.前端代码碰到的问题如下:   1.前端采用ImageCropper组件直接上传的时候,不知道将OSS所需参数加到何处?   2.当参数问题解决后,发现上传失败,具体报错为   3.文件可以顺利上传到OSS中,但是vue-admin-template却提示上传失败总结 前言 练手的项目中使用到了
调用阿里云OSS签名URL
HowYouth的博客
09-26 3150
业务场景 由于项目中未来会产生大批量的音视频文件,全部存在服务器本地将会占用大量的空间;因此决定使用阿里云对象存储服务(Object Stroage Service, OSS)实现文件上云;本地只保存最近3个月的文件,过期文件将会被删除。如果要查看过期文件,则先从OSS中下载该文件,然后再进行其他的常规操作。 因为是第一次使用OSS,因此前期做了大量的准备工作。在申请了公司的OSS账号之后,使用常规的上传下载会提示没有权限,因此在获取OSS连接时,需要加一个参数SecurityToken。而在我获取Secu
laravel + webupload + 阿里云OSS直传分享
Jenny的博客
08-20 2196
最近在做管理后天时,要上传一些app包文件,这些包大小都在几百兆内,普通上传,对服务器压力不小,而且很耗服务器资源。后来发现阿里云可以做web直传,所以,今天我就来记录下过程。 附: 阿里云web直传OSS文档 阿里云OSS直传示例(php版) 这示例文档已经说得很清楚,你唯一要做的就是下载PHP示例包,继承到自己项目根目录中,测试下示例是否能上传文件到oss,然后再想办法集成到webupload...
Token登录验证
u013258556的博客
05-28 8591
首先,引入crypto-js  或者测试直接使用下面的(用浏览器打开下面链接,复制到JS文件里,用script src的方式引到HTML中,避免链接失效)   <script src="https://yiyouqi.oss-cn-shanghai.aliyuncs.com/cdn/rsa/RSA.js"></script> <script src="https...
阿里云 OSS - 开通到使用、服务端签名直传(前后端代码 + 效果演示)
CYK_byte的博客
07-07 2328
传统的,我们有两种方式将图片上传到 OSS:a)前端请求 -> 后端服务器 -> OSS好处:在服务端上传,更加安全.坏处:给服务器带来压力.b)直接写在前端 js 代码中好处:效率高,不用给服务器带来额外压力.坏处:危险,用户直接可以看得到密钥信息.用户直接去服务器请求获取上传签名(账号密码生成的防伪签名,一般有过期时间),校验安全,服务器就返回该用户的防伪签名,然后用户就可以拿着签名和要上传的文件,通过表单直接上传到 OSS 中.
OSS signature 计算
weixin_33853827的博客
10-30 2035
背景 出现 signature 一般出现客户端自签名调 API 的操作中, signature 的计算稍微复杂点,建议最好用 SDK 来替代计算的过程和多样性。如果业务强需求,先要读懂如果计算 signature。 签名分类 Header 头中携带签名。 https://help.aliyun.com/document_detail/31951.htm...
OSSSignatureDoesNotMatch错误,特别注意公有云和私有云环境不同!
谭先生的博客
08-30 4万+
一、报错信息 com.aliyun.oss.OSSException: The request signature we calculated does not match the signature you provided. Check your key and signing method. [ErrorCode]: SignatureDoesNotMatch [RequestId...
阿里云oss - 文件上传
博客转至https://chengyanzhao.github.io,优快云不再更新。
09-22 9369
1 Authorization的计算方式首先贴一下阿里云oss官网贴出的签名计算方式:Authorization = "OSS " + AccessKeyId + ":" + Signature Signature = base64(hmac-sha1(AccessKeySecret, VERB + "\n" + Content-MD5 + "\n"
阿里云函数计算签名认证(iOS实现细节备注)
sky_long_fly的专栏
07-24 877
3、文档中添加 CanonicalizedFCHeaders 可以不用添加,CanonicalizedResource如何没有设置Path,在末尾加入“/”就可以了。4、主要还是 hmac-sha256 签名认证,在实现过程中转base64的问题。1、使用第三方库 AFNetworking进行网络请求
阿里云对象存储(oss)之服务端签名后直传
HaoGe优快云2002的博客
03-12 2598
阿里云对象存储(oss)之服务端签名后直传
阿里云oss
weixin_41449756的博客
01-16 1732
一、主账户的access_key_id、access_key_secret拥有所有权限,为了安全生成只有oss操作权限的access_key_id、access_key_secret 1、先创建创建用户 进入用户主页点击访问控制 创建用户(记录好access_key_id、access_key_secret) 添加权限:点击用户名->点击权限管理 二、使用URL签名:对访问文件的...
阿里云oss使用
songtaiwu的博客
03-06 1670
比如我们用上面的curl方式请求,就会拿到错误信息,看签名内容,可以发现这么请求签名里面没用content-type内容,但是服务端签名字符串是有octet-stream的,这样自然对不上。签名URL是用get方式获取文件,对于下载用的url,签名的时候会有content-type,用的什么,那么下载时客户端(浏览器、curl等)调用的时候也必须使用同样的content-type,否则就会提示签名错误。charset=UTF-8,所以我们生成下载的签名url时需要提供同样的content-type。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值