Azure Blob 获取 Service SAS 共享访问Token

最新推荐文章于 2023-08-04 14:30:09 发布
最新推荐文章于 2023-08-04 14:30:09 发布
阅读量1.3k 收藏 3
点赞数 2
文章标签: azure blobstore
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36435927/article/details/112031064
版权

Azure Blob 获取 Service SAS 爬坑

使用 zaure 对象存储,官方文档写的很详细 信任度很高但是还是掉坑里了,哎!记录一下为后人填坑吧。官方文档 https://docs.microsoft.com/en-us/rest/api/storageservices/create-account-sas

Service SAS

在使用azure blob (对象存储)的过程中 必然用到上传 和下载。上传文件功能在官方文档中写的很清楚,楼主在实现过程中并没有遇到什么坑, 例子如下 .各种语言也算覆盖的不错。今天主要搞一下 私有容器中共享访问签名的问题。
Azure 中共享访问签名(SAS)分为 Account SAS 和 Service SAS 。(楼主在这里搞错了 一开始用Account SAS 访问图片 不认真看文档的结果啊)

Account SAS 是用来访问服务的各种API 例如:设置Blob服务属性,获取Blob服务统计信息等。 Service SAS用来访问具体图片或者文件。

Create a service SAS

Service SAS 的构造方式 :
官方文档

在访问资源URl的后面以url param 的方式追加参数 例如 http://azuredata.net/data/demo.jpg?sv=2018-11-09&sig=MVas
其中 rc 和sig是参数名称。
参数在文档中描述的很详细 哪些必须传哪些非必传,每一个参数所代表的含义以及数据格式。
在这里简要阐述一下 详细内容可以看文档。

参数名称必需或可选描述
sv需要处理使用此共享访问签名发出的请求的服务版本。
sr需要指定可以通过共享访问签名访问哪些Blob资源。
st可选的共享访问签名变为有效的时间。UTC格式
se需要共享访问签名变为失效的时间。UTC格式。
sp需要指示拥有SAS的客户端可以对资源执行哪些操作。权限可以合并。r:读
sig需要签名是使用SHA256算法在字符串到符号和密钥上计算的HMAC,然后使用Base64编码进行编码。

重点说一下sig :官方文档的描述是 The signature is an HMAC computed over the string-to-sign and key using the SHA256 algorithm, and then encoded using Base64 encoding.

我们先看一下官方给出的例子:Service SAS examples
我们直接看最新的格式 2013-08-15以后的

signedstart=2013-08-16  
signedexpiry=2013-08-17  
signedresource=c  
signedpermissions=r  
signedidentifier=YWJjZGVmZw==  
signedversion=2013-08-15  
responsecontent-disposition=file; attachment  
responsecontent-type=binary  

StringToSign = r + \n   
               2013-08-16 + \n  
               2013-08-17 + \n  
               /myaccount/pictures + \n  
               YWJjZGVmZw== + \n  
               2013-08-15 + \n  
               + \n    
               file; attachment + \n  
               + \n  
               + \n  
               binary  
  
HMAC-SHA256(URL.Decode(UTF8.Encode(StringToSign))) = a39+YozJhGp6miujGymjRpN8tsrQfLo9Z3i8IRyIpnQ=

(上面的signedpermissions指的是sp官方文档中都有描述其他。)
这里的StringToSign 指的就是上面文档中英文描述的 ‘string-to-sign’ , 也就是说 StringToSign的结构也可以理解出来 通过将不同的参数安回车拼接就可以得到 StringToSign。

第一个坑

这里需要注意的是 signedidentifier。 azure blob 中的访问策略密钥,blob容器中可选访问策略。但是并没有用到 因为你会发现他会提示 访问策略于SAS并不能同时使用。所以这个地方也算是个坑,signedidentifier可以等于“”空字符串 我们并不需要什么访问策略,我一开始以为它就是 ‘string-to-sign’ 坑了好久。

第二个坑

StringToSign拼接出来后,就是按照他给出的伪代码进行加密:
HMAC-SHA256(URL.Decode(UTF8.Encode(StringToSign))) 按字面上的理解 先进行 UTF8.Encode 然后 URL.Decode 之后进行 HMAC-SHA256 。但是HMAC-SHA256是需要密钥的,伪代码并没有告诉我们加密的密钥是什么,通过查看已经写好的轮子发现 源码是这样的

$decodedAccountKey = base64_decode($this->accountKey);
$signature = hash_hmac("sha256", $stringToSign, $decodedAccountKey, true);
$sig = urlencode(base64_encode($signature));

MD !!!不仅要用自己生成的KEY加密,还要base64一下再加密,之前有想到用key作为密钥但是没想到需要先base64一下,而且hash_hmac函数后面的这个true 代表需要转化成44位。默认是64位的加密串!!!
按照源码中的流程总算是可以了,但是最后还是选择调用已经写好的生成方法,楼主用是PHP
BlobSharedAccessSignatureHelper 的 generateBlobServiceSharedAccessSignatureToken方法。

没想好呢——
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java azure blobs sas_仅使用SAS令牌连接到Azure存储帐户?
weixin_39780255的博客
02-27 497
我在门户上为我的特定blob生成SAS令牌,然后通过令牌成功下载它。样本代码:import com.microsoft.azure.storage.blob.CloudBlockBlob;import java.io.InputStream;import java.io.InputStreamReader;import java.net.URI;public class DownloadBlobS...
Azure上的几个
weixin_30896511的博客
08-30 198
此文用于记录在使用Azure中国版时遇到的一些“”。 1、虚拟机备份/还原 在某些场景中,使用备份/还原功能来创建(克隆)虚拟机比使用capture的image要方便很多。虚拟机备份后,执行还原操作实质上是创建一个新的虚拟机,原虚拟机仍然保留。其效果和使用capture的image创建虚拟机基本是一样的,唯一的区别就是:在通过还原功能创建虚拟机时,虚拟机大小是不能选择的。如果要更改虚拟机的大...
C# Azure Blob 通过SAS Token 上传下载Blob
最新发布
u013899121的博客
08-04 250
C# Azure Blob 通过SAS Token 上传下载Blob
Windows Azure Storage (3) Windows Azure Storage Service存储服务之Blob详解(中)
weixin_34302561的博客
03-26 217
  《Windows Azure Platform 系列文章目录》   如果读者使用的是国内由世纪互联运维的Azure China服务,请参考笔者的博文Azure China (4) 管理Azure China Storage Account   如果需要参考Azure China使用SAS Token的Sample Code,请参考笔者的博文:A...
Azure Blob Storage 基本用法 -- Azure Storage 之 Blob
sinolover的专栏
06-01 1442
Azure Storage 是微软 Azure 云提供的云端存储解决方案,当前支持的存储类型有 Blob、Queue、File 和 Table。 笔者在《Azure Table storage 基本用法》一文中,介绍了 Table Storage 的基本用法,本文将通过 C# 代码介绍 Blob Storage 的主要使用方法。 文章来源:葡萄城产品技术社区 Blob Storage 是什么? Azure Blob Storage 是用来存放大量的像文本、图片、视频等非结构化数据的存储服务。我们
使用Azure Blob Storage实现一个静态文件服务器
dotNET跨平台
07-28 909
什么是Azure BlobStorageAzure Blob Storage是微软Azure的对象存储服务。国内的云一般叫OSS,是一种用来存储非结构化数据的服务,比如音频,视频,图片...
azure.servicebus.sas-token.generate:生成一个Azure Servicebus SAS共享访问签名)令牌
05-09
问题陈述生成一个Azure Servicebus SAS共享访问签名)令牌格式操作使用 定义格式用法示例安装opctl op install github.com/opspec-pkgs/azure.servicebus.sas-token.generate#1.1.0跑步opctl run github....
azure.apimanagement.sas-token.generate:生成azure api管理SAS共享访问签名)令牌
05-09
生成azure api管理SAS共享访问签名)令牌 格式 操作使用 定义格式 用法示例 安装 opctl op install github.com/opspec-pkgs/azure.apimanagement.sas-token.generate#1.1.0 跑步 opctl run github....
使用共享访问签名保护Azure Service Bus队列
04-05
在本文中,我们将深入探讨如何使用共享访问签名(Shared Access Signatures, SAS)来保护Azure Service Bus队列,确保只有授权的实体能够进行读写操作。 **共享访问签名(SAS)** SAS是一种身份验证机制,允许用户...
StorageServices:适用于Unity的Azure Blob存储
02-01
Unity 2017.2的Azure Blob存储演示在Mac / Windows上尝试Unity的项目。 (该演示项目已经捆绑了所有内容,不需要任何其他资产。只需将其与您的Azure存储服务和公共Blob容器连接起来,然后在Unity Editor中直接运行它...
Azure中从Blob读取数据时获取异常
04-06
"从Azure中从Blob读取数据时获取异常"这个问题表明开发者在尝试访问或处理Blob对象时遇到了问题。Blob存储是Azure云平台提供的一个关键服务,用于存储大量非结构化数据,如文本、图片或视频。 首先,我们需要理解...
java azure blobs sas_使用Azure.storage.blobs在。NET Core 3.1中生成SAS过期令牌
weixin_42360899的博客
02-27 246
在这件事上有点麻烦。 在遵循Microsoft文档中的示例后,我得到了一个SAS令牌,但遇到了SAS令牌未经过身份验证的问题。string sastoken = "";BlobServiceClient blobServiceClient = new BlobServiceClient("DefaultEndpointsProtocol=https;AccountName=accountname;...
Azure存储账户访问密匙与SAS(一)--简介
weixin_44669829的博客
01-01 1642
本文主要看两者的共同与不同之处,以及一些基本的使用场景。 自然不用说两者都是为访问Azure的存储账户而存在的 先来看SASSAS主要定义了访问的规则: 比如访问什么? 什么权限? 什么时间?–访问多久 什么IP? 是否加密? 可以看一下生成的访问令牌: https://csdnstorage.blob.core.windows.net/?sv=2019-02-02&ss=bfqt&...
[Azure]Azure Storage Access Policy使用小实验
Han的小站
03-06 971
Azure Storage的Container除了可以设置Public Access Level之外:还可以定义一些Stored Access Policy:Stored Access Policy是属于单个容器的,不同容器之间的Stored Access Policy是互相独立的。Stored Access Policy可以用于生成SAS Token(Shared Access Signatur...
使用PowerShell创建Azure Storage的SAS Token访问Azure Blob文件
weixin_30344795的博客
02-05 365
Azure的存储包含Storage Account、Container、Blob等具体的关系如下: 我们常用的blob存储,存放在Storage Account的Container里面。 目前有三种方式可以把Blob里的内容共享给其他用户,这三种方式是: 1.把Container的属性设置为公共容器 2.把Blob属性设置为公共公共Blob 设置好后,blob就可以通过wget的...
blobsas
weixin_30734435的博客
07-19 220
Blob是什么? 请看上篇文章简单总结下关于blob的图片上传 在使用Blob图片上传的时候碰到许多问题,比如如何使用用户名密码下载文件啊什么的 今天就记录一下我碰到的最大的问题 如何匿名去访问你上传的Blob文件 共享访问签名:了解 SAS 模型 这篇文章值得一看,多数官方的文档在有时候还是很有用的。尝试了半天,只发现一个方法可以用,使用blobName来生成SAS,再通过SAS生成的Ur...
Connect China Azure Storage Blob By Container Token In Python SDK
dengao9681的博客
05-23 1229
简介: 基于Python SDK,使用Container Token操作container对象。关于Token的生成可以使用Storage SDK创建,也可以使用工具快速创建供测试。 示例代码: from azure.storage.blob import BlockBlobService account_name = 'yunewstoragetest' container_s...
Azure Blob Storage
07-27
Azure Blob Storage 提供了多种访问方式,包括 REST API、.NET、Java、Python 等各种编程语言的 SDK,以及 Azure Portal 和 Azure PowerShell 等管理工具。你可以使用这些工具来上传、下载、删除和管理 Blob 数据。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值