使用STS临时访问凭证访问OSS-实践记录

已于 2023-11-06 22:20:17 修改
阅读量3k 收藏 7
点赞数 2
分类专栏: 前端 文章标签: 运维 前端
于 2022-03-12 17:31:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longxiaobai_WJ/article/details/123447147
版权

1.创建RAM用户

使用STS临时访问凭证访问OSS

可以通过STS服务给其他用户颁发一个临时访问凭证。该用户可使用临时访问凭证在规定时间内访问您的OSS资源。临时访问凭证无需透露您的长期密钥,使您的OSS资源访问更加安全;

创建用户,保存访问密钥(AccessKey ID 和 AccessKey Secret);

2.为RAM用户授予请求AssumeRole的权限

使用STS临时访问凭证访问OSS

已创建RAM用户右侧对应的添加权限

3.创建用于获取临时访问凭证的角色

使用STS临时访问凭证访问OSS

以 RamOssTest 为名,进行说明;

4.为角色授予上传文件的权限

  1. 创建上传文件的自定义权限策略 -以 RamTestPolicy为名,进行说明;

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:PutObject"
      ],
      "Resource": [
        "acs:oss:*:*:examplebucket/exampledir",
        "acs:oss:*:*:examplebucket/exampledir/*"
      ]
    }
  ]
}

  2. 为RAM角色 RamOssTest 授予自定义权限策略;

    添加权限页面下的自定义策略页签,选择已创建的自定义权限策略 RamTestPolicy;

5.获取临时访问凭证

AssumeRole ;

Node.js 授权访问

// 通过STS服务生成临时访问凭证
const OSS = require('ali-oss');

// 阿里云账号AccessKey拥有所有API的访问权限,风险很高;
// 强烈建议您创建并使用RAM用户进行API访问或日常运维,请登录RAM控制台创建RAM用户;
const sts = new OSS.STS({
  accessKeyId: 'accessKeyId',
  accessKeySecret: 'accessKeySecret'
});

// 参考以下示例代码,具体参数说明详见下列链接:
// roleArn: 格式为acs:ram::$accountID:role/$roleName;
// policy: 为步骤4填写的权限策略;
// sessionName: 用户自定义参数。此参数用来区分不同的令牌,可用于用户级别的访问审计;
// https://help.aliyun.com/document_detail/28763.htm
// sts.assumeRole('roleArn', 'policy', 'expiration', 'sessionName').then((result) => {
//   console.log(result);
// }).catch((err) => {
//   console.log(err);
// });

sts.assumeRole('acs:ram::123456789012****:role/adminrole', {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:PutObject"
      ],
      "Resource": [
        "acs:oss:*:*:examplebucket/exampledir",
        "acs:oss:*:*:examplebucket/exampledir/*"
      ]
    }
  ]
}, '3600', 'adminrole').then((result) => {
  // SecretCode - example:
  // {
  //   SecurityToken: 'SecurityToken',
  //   AccessKeyId: 'STS.XXXXXXX',
  //   AccessKeySecret: 'AccessKeySecret',
  //   Expiration: '2020-03-12T03:16:01Z'
  // }
  console.log(result.credentials);
}).catch((err) => {
  console.log(err);
});


// 在客户端使用临时访问凭证初始化OSSClient,用于临时授权访问OSS资源
const axios = require("axios");
const OSS = require("ali-oss");

// 在客户端使用临时访问凭证初始化OSS客户端,用于临时授权访问OSS资源。
const getToken = async () => {
  // 设置客户端请求访问凭证的地址。
  await axios.get("https:/xxx/sts").then((token) => {
    const client = new OSS({
      // 以华东1(杭州)为例,yourRegion填写为oss-cn-hangzhou
      region: 'yourRegion',
      accessKeyId: token.AccessKeyId,
      accessKeySecret: token.AccessKeySecret,
      stsToken: token.SecurityToken,
      // 填写Bucket名称,例如examplebucket
      bucket: "examplebucket",
      // 刷新临时访问凭证
      refreshSTSToken: async () => {      
        const refreshToken = await axios.get("https://xxx/sts");
        return {
          accessKeyId: refreshToken.AccessKeyId,
          accessKeySecret: refreshToken.AccessKeySecret,
          stsToken: refreshToken.SecurityToken,
        };
      },
    });
  });
};

6.使用临时访问凭证上传文件至OSS

微信小程序直传实践

// 使用阿里云 OSS-SDK 上传
const OSS = require('ali-oss');

// 填写步骤5获取的临时访问密钥(AccessKey ID、AccessKey Secret 和 SecurityToken)
const client = new OSS({
  region: 'oss-cn-hangzhou',
  accessKeyId: 'STS.XXXXXXX',
  accessKeySecret: 'AccessKeySecret',
  bucket: 'examplebucket',
  stsToken: 'SecurityToken'
});

const data = document.getElementById("file").files[0];

const result = await client.put(
  "application/x-oss-forbid-overwrite.png",
  data
  // {headers}
);


// 使用 axios、wx.uploadFile 等工具上传
// https://help.aliyun.com/document_detail/92883.html
import { Base64 } from 'js-base64';

const policyText = {
  // 设置该Policy的失效时间,超过这个失效时间之后,就没有办法通过这个policy上传文件
  expiration: `${new Date(timestamp).toISOString()}`,
  conditions: [
    // 限制上传大小
    ["content-length-range", 0, 1024 * 1024 * 1024],
  ],
};
const policy = Base64.encode(JSON.stringify(policyText));
// 填写步骤5获取的临时访问密钥(AccessKey Secret)
const Signature = crypto.enc.Base64.stringify(crypto.HmacSHA1(policy, "accessKeySecret"));

// 服务端签名直传并设置上传回调,该参数可选
// https://help.aliyun.com/document_detail/31927.html?spm=a2c4g.11186623.6.1388.24906e28BwjPD3
const callback = {
  callbackUrl: 'https://tuanzi.test.com/callback',
  callbackBody:
    "filename=${object}&size=${size}&mimeType=${mimeType}&height=${imageInfo.height}&width=${imageInfo.width}",
  callbackBodyType: "application/x-www-form-urlencoded",
}
const CallbackUrls = Buffer.from(JSON.stringify(callback)).toString("base64")

// 填写步骤5获取的临时访问密钥(AccessKey ID 和 SecurityToken)
function fileCreate (file) {
  const uploadData = new FormData();
  uploadData.append("OSSAccessKeyId", 'STS.XXXXXXX');
  uploadData.append("key", 'application/${filename}');
  uploadData.append("policy", policy);
  uploadData.append("success_action_status", 200);
  uploadData.append("name", file.name);
  // 使用STS签名时必传
  uploadData.append("x-oss-security-token", "securityToken");
  uploadData.append("Signature", Signature);
  // uploadData.append("callback", CallbackUrls);

  uploadData.append("file", file);

  return uploadData;
}

const file = document.getElementById("file").files[0];
const uploadData = fileCreate(file);
axios({
  url: 'http://examplebucket.oss-cn-hangzhou.aliyuncs.com',
  method: 'post',
  data: uploadData,
  headers: { 'Content-Type': 'multipart/form-data' }
}).then(r => console.log(r));

7.使用签名URL进行临时授权

可以将生成的签名URL提供给访客进行临时访问;

生成签名URL时,您可以通过指定URL的过期时间来限制访客的访问时长。签名URL的默认过期时间为3600秒,最大值为32400秒;

const OSS = require('ali-oss');

// 阿里云账号AccessKey拥有所有API的访问权限,风险很高;
// 强烈建议您创建并使用RAM用户进行API访问或日常运维,请登录RAM控制台创建RAM用户;
const client = new OSS({
  region: 'oss-cn-hangzhou',
  accessKeyId: 'accessKeyId',
  accessKeySecret: 'accessKeySecret',
  bucket: 'examplebucket',
});
// 用于生成对应签名URL来上传和下载文件
// const url = client.signatureUrl('pathname/2Q2tTXZ5JRHb72.png');

// 生成带图片处理参数的签名URL
const url = client.signatureUrl('pathname/2Q2tTXZ5JRHb72.png', { 
  // 设置过期时间,默认值为1800秒。
  expires: 3600, 
  // 设置图片处理参数。
  process: 'image/resize,w_200' 
});

// http://examplebucket.region.aliyuncs.com/pathname/filename.png?OSSAccessKeyId=OSSAccessKeyId&Expires=1647075144&Signature=Signature
console.log(url);
longxiaobai_WJ
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云OSS开启Sts临时访问控制
故事码的博客
03-08 1158
阿里云OSS开启Sts临时访问控制 第一步、信息整理汇总 下面是整个过程中需要记录的数据,以及位置 其中AccessKey需要创建成功后,及时的记录,因为后续只会展示一个AccessKeyId,另外一个AccessKeySecret是非常重要的 名称和数据 位置 bucket名称和endpoint 对象存储oss-》Bucket列表 策略的脚本和策略的名称 访问控制 -》权限策略 角色ARN 访问控制 -》 角色详情 AccessKey 访问控制 -》用户详情 第二步:进入控
使用STS临时访问凭证访问OSS
qq_29965101的博客
11-18 222
https://help.aliyun.com/document_detail/100624.html
使用STS临时访问凭证通过客户端直连OSS对象存储服务
最新发布
Hacynn的博客
06-02 1147
客户端直传是指客户端直接上传文件到对象存储OSS。相对于服务端代理上传,客户端直传避免了业务服务器中转文件,提高了上传速度,节省了服务器资源。 在典型的服务端和客户端架构下,常见的文件上传方式是服务端代理上传:客户端将文件上传到业务服务器,然后业务服务器将文件上传到OSS。在这个过程中,一份数据需要在网络上传输两次,会造成网络资源的浪费,增加服务端的资源开销。为了解决这一问题,可以在客户端直连OSS来完成文件上传,无需经过业务服务器中转。
阿里云OSS获取STS临时访问凭证
CaptainJava的博客
11-05 1393
最好复制策略配置页面的内容,放进代码。不是角色名,而是角色ARN。
oss获取临时访问凭证-方法TST
m0_59598029的博客
02-25 1179
阿里云对象存储OSS(Object Storage Service)为您提供基于网络的数据存取服务使用OSS,您可以通过网络随时存储和调用包括文本、图片、音视频在内的各类数据文件。在先前的一片推文里我有写到阿里的oss云上传技术,但是,如果是外部项目,则会设计到云库的安全密钥问题,所以在这里做一下云库密钥的补充。
使用前端JS上传文件到阿里云的OSS服务器,PHP生成STS临时访问凭证
fendouweiqian的博客
07-06 1319
官方教程地址:https://help.aliyun.com/document_detail/383950.html?第五步只提供了Java代码,并且PHP的SDK中说明,缺少了一个步骤。这篇文章主要是指出官方教程没有说明的地方。PHP的SDK中说明需要引入如下SDK。这里还缺少一个SDK的引入,如下。
前端通过STS方式直传至阿里云OSS(包含文件上传、下载和自动刷新stsToken)
weixin_45732455的博客
08-04 3432
前端通过STS方式直传至阿里云OSS(包含文件上传、下载和自动刷新stsToken)
【编程开发】之 OSS 访问STS 授权
王廷云的博客
09-06 1618
目录
阿里云OSS临时凭证前后端配合Web直传OSS
weixin_42293039的博客
06-18 2850
阿里云OSS临时凭证前后端配合上传文件Web直传OSS前言一、背景介绍二、流程介绍三、总结一下1、首先开通服务Ⅰ、nacos配置2、导入pom依赖到自己工程3、代码示例-后端代码***代码结构***Ⅰ、configⅡ、NacosParamConfigⅢ、OssServiceⅣ、OssControllerⅤ、成功获取签名4、代码示例-前端代码总结 前言 哈喽,最近公司在做文件上传时选用了阿里云的对象存储OSS,于是就把工作中的开发经验写成博客分享给大家,这是一篇企业里用的阿里云OSS临时签证直传的上传教程,
php生成阿里云OSS STS凭证返回前端前端上传文件到OSS
不知道该取什么标题的博客
06-29 934
要先去阿里云管理后台开通STS服务 然后去 下载类库包 https://help.aliyun.com/document_detail/31920.html 直接上代码,调用即可 <?php namespace app\common; class StsService { protected $url = 'https://sts.aliyuncs.com'; protected $accessKeySecret; protected $accessKeyId; .
使用 thinkphp5 + 阿里云oss
jartins的博客
12-21 2227
第一步:执行composer composer require aliyuncs/oss-sdk-php 执行完毕可在vender下看到组件 第二步:预先准备的 $accessKeyId, $accessKeySecret, $endpoint,$bucket. 第三步:在 application/index/controller/Common.php ...
php(tp框架)使用阿里云OSS存储
qq_34761385的博客
11-16 2533
这里只演示thinkphp5.0框架上传文件到阿里云oss对象存储中。其实官方文档说的很明白,但是在实操中我们总是会出现各种细节错误。恨不得有一个从头到尾的新手教程。 官方文档:PHP - 对象存储 OSS - 阿里云 1.前期准备工作 申请注册阿里云账号,开通阿里云oss对象存储我就不说了。然后进入对象存储控制台,创建一个Bucket。我创建的Bucket名称为liuqingwushui。注意,这个昵称后面会用到。然后再创建了一个文件夹dream。创建完之后的样子是这样的: 在阿里云os..
Thinkphp6+Uniapp+微信小程序上传图片到阿里云OSS
lindeliang的博客
02-18 1905
RAM用户添加权限:AliyunOSSFullAccess、AliyunSTSAssumeRoleAccess,在左侧搜索框输入AliyunOSSFullAccess与AliyunSTSAssumeRoleAccess进行添加,然后点确定进行保存。云账号 AccessKey 是您访问阿里云 API 的密钥,具有账户的完全权限,使用 RAM 用户(而不是云账号)的 AccessKey 进行 API 调用使用服务端签名时,需要先搭建一个签名服务,然后由客户端调用签名服务生成签名。
手把手教你阿里云视频点播使用上传凭证上传视频(STS Token的方式)
分享一点有用的知识
03-20 1351
手把手教你阿里云视频点播使用上传凭证上传视频(STS Token的方式)
使用阿里云STS临时token完成阿里云OSS图片上传(Springboot+Vue)
wyhhQAQ的博客
10-20 2985
本篇文章基于Springboot+Vue+Vant使用阿里云OSS图片上传功能,后端Springboot使用阿里云STS临时token安全认证,前端使用vue来上传阿里云OSS图片。
玩转运维编排服务的权限:Assume Role+Pass Role
chikuai9995的博客
07-10 568
什么是运维编排服务? 阿里云运维编排服务(Operation Orchestration Service,简称OOS)是云上的自动化运维平台,提供运维任务的管理和执行。典型使用场景包括:事件驱动运维,批量操作运维,定时运维任务,跨地域运维等,OOS为重要运维场景提供审批,通知等功能。OOS...
关于oss使用sts 后台签发临时token前端直传大文件的错误记录
热门推荐
初心不改
08-19 1万+
ali-oss stsToken前端直传大文件的错误记录
通过临时访问凭证操作OSS资源时报错You have no right to access this object because of bucket acl.如何处理?
05-22
这个错误提示表明您没有权限访问该对象,可能是因为存储桶的ACL设置限制了您的访问权限。您可以按照以下步骤进行排查和处理: 1. 确认您的AccessKeyId和AccessKeySecret是否正确,是否有足够的权限来访问该存储桶和对象。 2. 确认存储桶的ACL设置是否正确。您可以通过控制台或者SDK API查看和修改存储桶的ACL设置,确保您具有访问该对象的权限。 3. 确认存储桶的跨域资源共享(CORS)设置是否正确。如果存储桶开启了CORS设置,那么访问该存储桶的请求需要满足一定的条件。您可以通过控制台或者SDK API查看和修改存储桶的CORS设置。 4. 如果您使用STS临时访问凭证访问OSS资源,那么您需要确保您在生成STS Token时对该对象授权。您可以通过控制台或者SDK API生成STS Token,并指定访问该对象的权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值