使用STS临时访问凭证访问OSS-实践记录

已于 2023-11-06 22:20:17 修改
阅读量3.6k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 前端 文章标签: 运维 前端
于 2022-03-12 17:31:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/longxiaobai_WJ/article/details/123447147
本文档详细介绍了如何使用阿里云RAM用户和STS服务创建临时访问凭证,以安全地访问和上传文件到OSS。首先创建RAM用户并保存访问密钥,然后为用户授权请求AssumeRole的权限。接着创建角色并定义上传文件的权限策略。通过STS服务获取临时访问凭证,并在客户端使用这些凭证初始化OSSClient以上传文件。此外,还展示了如何使用签名URL进行临时授权访问。整个过程确保了资源访问的安全性,避免了长期密钥的暴露。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.创建RAM用户

使用STS临时访问凭证访问OSS

可以通过STS服务给其他用户颁发一个临时访问凭证。该用户可使用临时访问凭证在规定时间内访问您的OSS资源。临时访问凭证无需透露您的长期密钥,使您的OSS资源访问更加安全;

创建用户,保存访问密钥(AccessKey ID 和 AccessKey Secret);

2.为RAM用户授予请求AssumeRole的权限

使用STS临时访问凭证访问OSS

已创建RAM用户右侧对应的添加权限

3.创建用于获取临时访问凭证的角色

使用STS临时访问凭证访问OSS

以 RamOssTest 为名,进行说明;

4.为角色授予上传文件的权限

  1. 创建上传文件的自定义权限策略 -以 RamTestPolicy为名,进行说明;

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:PutObject"
      ],
      "Resource": [
        "acs:oss:*:*:examplebucket/exampledir",
        "acs:oss:*:*:examplebucket/exampledir/*"
      ]
    }
  ]
}

  2. 为RAM角色 RamOssTest 授予自定义权限策略;

    添加权限页面下的自定义策略页签,选择已创建的自定义权限策略 RamTestPolicy;

5.获取临时访问凭证

AssumeRole ;

Node.js 授权访问

// 通过STS服务生成临时访问凭证
const OSS = require('ali-oss');

// 阿里云账号AccessKey拥有所有API的访问权限,风险很高;
// 强烈建议您创建并使用RAM用户进行API访问或日常运维,请登录RAM控制台创建RAM用户;
const sts = new OSS.STS({
  accessKeyId: 'accessKeyId',
  accessKeySecret: 'accessKeySecret'
});

// 参考以下示例代码,具体参数说明详见下列链接:
// roleArn: 格式为acs:ram::$accountID:role/$roleName;
// policy: 为步骤4填写的权限策略;
// sessionName: 用户自定义参数。此参数用来区分不同的令牌,可用于用户级别的访问审计;
// https://help.aliyun.com/document_detail/28763.htm
// sts.assumeRole('roleArn', 'policy', 'expiration', 'sessionName').then((result) => {
//   console.log(result);
// }).catch((err) => {
//   console.log(err);
// });

sts.assumeRole('acs:ram::123456789012****:role/adminrole', {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:PutObject"
      ],
      "Resource": [
        "acs:oss:*:*:examplebucket/exampledir",
        "acs:oss:*:*:examplebucket/exampledir/*"
      ]
    }
  ]
}, '3600', 'adminrole').then((result) => {
  // SecretCode - example:
  // {
  //   SecurityToken: 'SecurityToken',
  //   AccessKeyId: 'STS.XXXXXXX',
  //   AccessKeySecret: 'AccessKeySecret',
  //   Expiration: '2020-03-12T03:16:01Z'
  // }
  console.log(result.credentials);
}).catch((err) => {
  console.log(err);
});


// 在客户端使用临时访问凭证初始化OSSClient,用于临时授权访问OSS资源
const axios = require("axios");
const OSS = require("ali-oss");

// 在客户端使用临时访问凭证初始化OSS客户端,用于临时授权访问OSS资源。
const getToken = async () => {
  // 设置客户端请求访问凭证的地址。
  await axios.get("https:/xxx/sts").then((token) => {
    const client = new OSS({
      // 以华东1(杭州)为例,yourRegion填写为oss-cn-hangzhou
      region: 'yourRegion',
      accessKeyId: token.AccessKeyId,
      accessKeySecret: token.AccessKeySecret,
      stsToken: token.SecurityToken,
      // 填写Bucket名称,例如examplebucket
      bucket: "examplebucket",
      // 刷新临时访问凭证
      refreshSTSToken: async () => {      
        const refreshToken = await axios.get("https://xxx/sts");
        return {
          accessKeyId: refreshToken.AccessKeyId,
          accessKeySecret: refreshToken.AccessKeySecret,
          stsToken: refreshToken.SecurityToken,
        };
      },
    });
  });
};

6.使用临时访问凭证上传文件至OSS

微信小程序直传实践

// 使用阿里云 OSS-SDK 上传
const OSS = require('ali-oss');

// 填写步骤5获取的临时访问密钥(AccessKey ID、AccessKey Secret 和 SecurityToken)
const client = new OSS({
  region: 'oss-cn-hangzhou',
  accessKeyId: 'STS.XXXXXXX',
  accessKeySecret: 'AccessKeySecret',
  bucket: 'examplebucket',
  stsToken: 'SecurityToken'
});

const data = document.getElementById("file").files[0];

const result = await client.put(
  "application/x-oss-forbid-overwrite.png",
  data
  // {headers}
);


// 使用 axios、wx.uploadFile 等工具上传
// https://help.aliyun.com/document_detail/92883.html
import { Base64 } from 'js-base64';

const policyText = {
  // 设置该Policy的失效时间,超过这个失效时间之后,就没有办法通过这个policy上传文件
  expiration: `${new Date(timestamp).toISOString()}`,
  conditions: [
    // 限制上传大小
    ["content-length-range", 0, 1024 * 1024 * 1024],
  ],
};
const policy = Base64.encode(JSON.stringify(policyText));
// 填写步骤5获取的临时访问密钥(AccessKey Secret)
const Signature = crypto.enc.Base64.stringify(crypto.HmacSHA1(policy, "accessKeySecret"));

// 服务端签名直传并设置上传回调,该参数可选
// https://help.aliyun.com/document_detail/31927.html?spm=a2c4g.11186623.6.1388.24906e28BwjPD3
const callback = {
  callbackUrl: 'https://tuanzi.test.com/callback',
  callbackBody:
    "filename=${object}&size=${size}&mimeType=${mimeType}&height=${imageInfo.height}&width=${imageInfo.width}",
  callbackBodyType: "application/x-www-form-urlencoded",
}
const CallbackUrls = Buffer.from(JSON.stringify(callback)).toString("base64")

// 填写步骤5获取的临时访问密钥(AccessKey ID 和 SecurityToken)
function fileCreate (file) {
  const uploadData = new FormData();
  uploadData.append("OSSAccessKeyId", 'STS.XXXXXXX');
  uploadData.append("key", 'application/${filename}');
  uploadData.append("policy", policy);
  uploadData.append("success_action_status", 200);
  uploadData.append("name", file.name);
  // 使用STS签名时必传
  uploadData.append("x-oss-security-token", "securityToken");
  uploadData.append("Signature", Signature);
  // uploadData.append("callback", CallbackUrls);

  uploadData.append("file", file);

  return uploadData;
}

const file = document.getElementById("file").files[0];
const uploadData = fileCreate(file);
axios({
  url: 'http://examplebucket.oss-cn-hangzhou.aliyuncs.com',
  method: 'post',
  data: uploadData,
  headers: { 'Content-Type': 'multipart/form-data' }
}).then(r => console.log(r));

7.使用签名URL进行临时授权

可以将生成的签名URL提供给访客进行临时访问;

生成签名URL时,您可以通过指定URL的过期时间来限制访客的访问时长。签名URL的默认过期时间为3600秒,最大值为32400秒;

const OSS = require('ali-oss');

// 阿里云账号AccessKey拥有所有API的访问权限,风险很高;
// 强烈建议您创建并使用RAM用户进行API访问或日常运维,请登录RAM控制台创建RAM用户;
const client = new OSS({
  region: 'oss-cn-hangzhou',
  accessKeyId: 'accessKeyId',
  accessKeySecret: 'accessKeySecret',
  bucket: 'examplebucket',
});
// 用于生成对应签名URL来上传和下载文件
// const url = client.signatureUrl('pathname/2Q2tTXZ5JRHb72.png');

// 生成带图片处理参数的签名URL
const url = client.signatureUrl('pathname/2Q2tTXZ5JRHb72.png', { 
  // 设置过期时间,默认值为1800秒。
  expires: 3600, 
  // 设置图片处理参数。
  process: 'image/resize,w_200' 
});

// http://examplebucket.region.aliyuncs.com/pathname/filename.png?OSSAccessKeyId=OSSAccessKeyId&Expires=1647075144&Signature=Signature
console.log(url);
使用STS临时访问凭证通过客户端直连OSS对象存储服务
Hacynn的博客
06-02 3031
客户端直传是指客户端直接上传文件到对象存储OSS。相对于服务端代理上传,客户端直传避免了业务服务器中转文件,提高了上传速度,节省了服务器资源。 在典型的服务端和客户端架构下,常见的文件上传方式是服务端代理上传:客户端将文件上传到业务服务器,然后业务服务器将文件上传到OSS。在这个过程中,一份数据需要在网络上传输两次,会造成网络资源的浪费,增加服务端的资源开销。为了解决这一问题,可以在客户端直连OSS来完成文件上传,无需经过业务服务器中转。
PHP&Laravel通过阿里STS临时授权访问OSS
donjan的博客
04-15 2107
文章目录创建子账号创建策略创建角色安装SDK获取临时凭证 创建子账号 云账号登录RAM控制台:https://ram.console.aliyun.com 创建一个可以编程访问的子账号,记录下AccessKey ID和AccessKey Secret。 并添加AliyunSTSAssumeRoleAccess权限 创建策略 访问:https://ram.console.aliyun.com/policies 创建策略,这里有很多系统策略,都具有比较高的权限,咱们需要创建一个只具备上传到OSS访问的策略
java实现使用STS临时访问凭证访问阿里云OSS.zip
04-01
通过STS服务给其他用户颁发一个临时访问凭证。该用户使用临时访问凭证在规定时间内访问您的OSS资源。临时访问凭证无需透露您的长期密钥,使您的OSS资源访问更加安全。 源码可供参考学习使用
使用STS临时访问凭证访问OSS
qq_29965101的博客
11-18 304
https://help.aliyun.com/document_detail/100624.html
阿里云OSS获取STS临时访问凭证
CaptainJava的博客
11-05 2018
最好复制策略配置页面的内容,放进代码。不是角色名,而是角色ARN。
使用STS以及签名URL临时授权访问OSS资源
soso1968的博客
10-07 1769
本文介绍JAVA如何使用STS以及签名URL临时授权访问OSS资源。​ 由于STS临时账号以及签名URL均需设置有效时长,当您使用STS临时账号生成签名URL执行相关操作(例如上传、下载文件)时,以最小的有效时长为准。例如您的STS临时账号的有效时长设置为1200秒、签名URL设置为3600秒时,当有效时长超过1200秒后,您无法使用STS临时账号生成的签名URL上传文件。 本文以从环境变量读取访问凭证为例。如何配置访问凭证,请参见配置访问凭证
aliyun-oss-demo.zip
09-03
同时,为了提高应用的稳定性和安全性,建议使用STS(Security Token Service)获取临时访问凭证,避免长期暴露AccessKey ID和AccessKey Secret。 通过这个"aliyun-oss-demo.zip"项目,你可以学习到如何在SpringBoot...
OSS直传结合STS使用流程—— 授权您的客户端直接访问云存储
热门推荐
guojun13598079464的博客
07-30 1万+
摘要:当阿里云客户使用云存储服务来保存来自其客户端的用户数据时,现有的解决方案都存在一些问题。针对这一场景及问题,本文介绍了一种轻量级的安全解决方案,即使用STS服务授权客户端直接访问云存储。本文阐述了STS方案的基本原理,并且结合具体应用场景,对实施步骤进行了详细的描述。 1 引言 假设您是阿里云客户,您打算使用公共云服务来构建应用系统,比如为您的用户提供安防监控视频存储解决方案。当您使用...
基于maven工程实践STS授权访问OSS
fralychen的博客
04-21 1152
基于maven工程实践STS授权访问OSS 新建RAM用户 登录 RAM 控制台。 在左侧导航栏的人员管理菜单下,单击用户。 单击新建用户,输入登录名称和显示名称。 说明 单击添加用户,可一次性创建多个 RAM 用户。 在访问方式区域下,选择控制台密码登录或编程访问- **控制台密码登录**:可以完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要...
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取
04-05
本话题将聚焦于集成MinIO和阿里云OSS的基本操作,以及如何获取使用临时访问令牌。 MinIO是一个开源的对象存储服务器,适用于云原生环境,支持S3 API。它提供了高性能、高可用性和安全性,适用于各种规模的企业。...
SpringBoot 通过STS获取阿里云临时凭证访问OSS
MaoSLv的博客
08-28 1141
SpringBoot 通过STS获取阿里云临时凭证访问OSS
oss获取临时访问凭证-方法TST
m0_59598029的博客
02-25 1590
阿里云对象存储OSS(Object Storage Service)为您提供基于网络的数据存取服务使用OSS,您可以通过网络随时存储和调用包括文本、图片、音视频在内的各类数据文件。在先前的一片推文里我有写到阿里的oss云上传技术,但是,如果是外部项目,则会设计到云库的安全密钥问题,所以在这里做一下云库密钥的补充。
STS临时访问OSS
wykyzdq的博客
03-27 453
③为用户添加AliyunSTSAssumeRoleAccess权限(调用STS服务)⑤为角色授权(在权限策略哪里用脚本可以添加精细的权限例如文件的上传和下载)①在阿里云创建bucket(OSS
使用前端JS上传文件到阿里云的OSS服务器,PHP生成STS临时访问凭证
fendouweiqian的博客
07-06 1563
官方教程地址:https://help.aliyun.com/document_detail/383950.html?第五步只提供了Java代码,并且PHP的SDK中说明,缺少了一个步骤。这篇文章主要是指出官方教程没有说明的地方。PHP的SDK中说明需要引入如下SDK。这里还缺少一个SDK的引入,如下。
前端通过STS方式直传至阿里云OSS(包含文件上传、下载和自动刷新stsToken)
weixin_45732455的博客
08-04 6266
前端通过STS方式直传至阿里云OSS(包含文件上传、下载和自动刷新stsToken)
阿里云oos服务获取临时凭证完成文件简单上传
m0_73875592的博客
01-02 3217
对于新手使用Java语言编写关于文件上传到阿里云oos储存时,准备临时使用Java SDK访问OSS服务时,来聊聊如何获取临时凭证
阿里云OSS开启Sts临时访问控制
故事码的博客
03-08 1393
阿里云OSS开启Sts临时访问控制 第一步、信息整理汇总 下面是整个过程中需要记录的数据,以及位置 其中AccessKey需要创建成功后,及时的记录,因为后续只会展示一个AccessKeyId,另外一个AccessKeySecret是非常重要的 名称和数据 位置 bucket名称和endpoint 对象存储oss-》Bucket列表 策略的脚本和策略的名称 访问控制 -》权限策略 角色ARN 访问控制 -》 角色详情 AccessKey 访问控制 -》用户详情 第二步:进入控
后端接收文件
最新发布
03-28
### 后端处理文件上传的最佳实践 #### 文件上传的核心流程 文件上传通常涉及客户端发送请求以及后端接收并存储文件的过程。为了确保高效性和安全性,以下是几个核心要点: 1. **使用临时令牌进行权限控制** 对于敏感操作(如文件上传),建议采用临时授权机制来增强安全性和灵活性。例如,在阿里云OSS中可以通过STS服务生成短期有效的访问凭证[^2]。 2. **分片上传优化大文件传输效率** 针对较大的文件,推荐实施分片上传策略以降低单次请求失败的风险,并提高网络波动下的稳定性[^1]。 3. **监控与反馈实时状态更新** 提供清晰的状态报告有助于改善用户体验;这包括但不限于初始化确认、进度条显示直至最终完成通知等功能模块设计思路。 4. **错误处理及日志记录完善异常管理方案** 建立健全的日志体系对于排查问题至关重要,同时合理定义各类可能发生的错误类型及其对应的解决方案也是不可或缺的一部分内容之一[^3]。 #### PHP 实现示例 下面展示了一个简单的PHP脚本用于演示基本的文件接收逻辑: ```php <?php if ($_SERVER['REQUEST_METHOD'] === 'POST') { $target_dir = "uploads/"; $target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]); // Check if file already exists if (file_exists($target_file)) { echo json_encode(["status"=>"error", "message"=> "File already exists."]); exit; } // Validate and move uploaded file if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) { echo json_encode(["status"=>"success", "message"=> "The file ". htmlspecialchars(basename($_FILES["fileToUpload"]["name"])). " has been uploaded."]); } else { echo json_encode(["status"=>"error", "message"=> "Sorry, there was an error uploading your file."]); } } ?> ``` #### Python Flask 示例 这里提供了一种利用Flask框架构建RESTful API的方式来进行文件上传的操作方法说明如下所示: ```python from flask import Flask, request, jsonify import os app = Flask(__name__) UPLOAD_FOLDER = './uploads' os.makedirs(UPLOAD_FOLDER, exist_ok=True) @app.route('/upload', methods=['POST']) def upload_file(): if 'file' not in request.files: return jsonify({"status": "error", "message": "No file part"}), 400 file = request.files['file'] if file.filename == '': return jsonify({"status": "error", "message": "No selected file"}), 400 try: filepath = os.path.join(UPLOAD_FOLDER, file.filename) file.save(filepath) return jsonify({"status": "success", "message": f"File {file.filename} saved successfully!"}) except Exception as e: return jsonify({"status": "error", "message": str(e)}), 500 if __name__ == '__main__': app.run(debug=True) ``` ### 注意事项 - 确保服务器配置允许适当大小范围内的文件上传。 - 考虑设置合理的超时时间防止长时间占用资源。 - 加密通信渠道保护数据隐私安全[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值