如何安全访问oss资源?

于 2024-07-24 10:13:56 发布
阅读量796 收藏 17
点赞数 11
分类专栏: node.js egg 文章标签: node.js nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43558959/article/details/140617018
版权

如何安全访问oss资源?

一、前言

我们在公司项目或者个人项目中肯定会使用到oss来存储资源文件,oss的使用方便了我们在项目中存储和访问资源,但是无论是阿里云oss还是腾讯云oss都是需要按流量和访问量进行计费的,如果我们直接将oss的地址暴露在公网上,允许用户随意访问,可能会出现被恶意刷流量的情况,导致项目的费用变高,并且有可能被别人当作资源库进行使用(也就是我们常说的盗链)。
所以我们为了安全的使用oss资源,就必须将公网oss地址给隐藏起来,不让用户知晓原始的oss地址,只是在项目使用的时候通过代理去访问对应的资源,下面我就来简单介绍两种常见的代理访问方式:

二、使用nginx代理访问:

使用Nginx代理访问阿里云OSS(Object Storage Service)或腾讯云OSS,可以通过配置Nginx的location块来代理请求到OSS的HTTP/HTTPS端点。以下是一个参考的示例:

2.1安装和配置Nginx:

  • 首先确保你的服务器或者本地上已经安装了Nginx服务:
    可以使用下面的命令查看是否安装了nginx:
ps -ef |grep nginx

在这里插入图片描述

  • 添加代理配置,在Nginx配置文件找到配置代理的server块,并在其中添加一个location块。添加以下内容:
server {
   listen 80;
   server_name your.domain.com;
   location /oss/ {
       # 设置OSS的访问URL
       proxy_pass https://your-oss-endpoint.oss-cn-region.aliyuncs.com/;
       # 如果OSS需要特定的HTTP头,可以在这里设置
       proxy_set_header Host $host;
       # 其他可能需要的代理设置...
       # 转发原始请求头到OSS(可选)
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       # 禁用缓存(可选)
       proxy_no_cache 1;
       proxy_cache_bypass 1;
   }
}

注意:your-oss-endpoint.oss-cn-region.aliyuncs.com需要替换为自己的OSS端点URL。

  • 重启Nginx: 保存并关闭配置文件后,重启Nginx让配置生效
  • 测试访问:
    通过访问Nginx服务器的URL(如http://your.domain.com/oss/1000.webp)来测试:
    在这里插入图片描述

2.2安全性考虑:

为了访问的安全性,我们还可以做以下配置:

  • 在nginx上开启SSL/TLS,这样代理的请求将使用HTTPS协议。

  • 增加oss的ip访问限制,给nginx的服务器ip增加ip白名单,这样就可以保证只有nginx服务器才能访问到oss。

三、使用后端接口代理访问:

我们还可以通过后端接口代理访问oss,我这里以Node项目的Egg框架为例,新建一个访问oss图片的接口:
如果想使用下面的例子进行测试但是对egg框架不是很熟悉的,可以参考我之前的文章:https://blog.csdn.net/qq_43558959/article/details/139998844

3.1 接口编写

// 新增接口
router.get('/oss', controller.oss.index);
// app/controller/oss.js
   async index() {
    const { ctx } = this;
    const { fileName } = ctx.validate({
      fileName: { type: 'string' },
    });
    try {
      // 使用axios发起请求获取图片
      const axiosResponse = await axios({
        url: `https://your-oss-endpoint.oss-cn-region.aliyuncs.com/${fileName}`,
        method: 'get',
        responseType: 'arraybuffer',
      });
      this.ctx.set({
        'Content-Type': axiosResponse.headers['content-type'] || 'image/webp',
        'Content-Length': axiosResponse.headers['content-length'],
      });
      ctx.body = Buffer.from(axiosResponse.data, 'binary');
      return;
    } catch (error) {
      ctx.logger.error(error);
    }
    ctx.state = 404;
    return;
  }

3.2 测试访问

通过访问接口:http://127.0.0.1:7001/oss?fileName=1000.webp
在这里插入图片描述

四、总结

上面分享的只是我在工作和学习中使用到的两种代理的方式,如果小伙伴有更好的方式,也可以在评论区讨论下,我们一起研究研究。

航航在路上VIP
关注
专栏目录
java基于阿里云OSS访问私有云的localhost域名问题
JavierWang的博客
02-08 2036
在使用阿里云的私有云访问时,需要更改服务器机器的host文件,host文件目录为:C:\Windows\System32\drivers\etc\hosts,如下是hosts的文件详情: # Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Wi
oss连接的简单实现与文件的简单获取
Rouckie的博客
04-24 1677
# -*- coding: utf-8 -*- import oss2 class Test(object): def __init__(self): self.auth = oss2.Auth('LTAIwW2SiGVPJ4IL', 'P7n5DFASr2WLwJQV3IAKpIAlqVP12p') # 阿里账号 self.bucket = oss...
解决阿里云OSS使用URL无法访问图片的两种方法
08-18
主要介绍了解决阿里云OSS使用URL无法访问图片的两种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
假如 我上传 了一个oss 文件 如果保证 这个用户 拿到后 进行盗刷
qq_33240556的博客
07-08 323
保护OSS(Object Storage Service,对象存储服务)中上传的文件,防止用户下载后进行非法传播或盗刷,是一个涉及版权保护、访问控制和安全策略的问题。请注意,任何技术手段都不是绝对安全的,重要的是综合运用多种策略,形成多层次的防护体系。同时,也要平衡用户体验与安全保护之间的关系,避免过度限制影响正常用户的使用体验。
如何实现上传到oss的图片只能在本网站上访问,直接访问oss文件链接不能下载不能访问
小马哥的博客
11-09 1927
通过以上步骤,只有在你的网站上获取到了有效签名的请求才能进行图片的上传和访问,从而实现了只能在本网站上访问上传到 OSS 的图片,而不能直接下载或访问 OSS 文件链接。- 在服务端生成一个用于签名的密钥(Access Key),该密钥只在服务端保存,不会暴露给前端,可以通过类似阿里云的服务SDK来操作。3. 在你的网站后端代码中,上传图片到 OSS 存储桶时,需要生成一个访问授权凭证(签名)。- 在此接口中,使用服务端密钥对请求进行签名,生成图片的临时访问链接,并返回给前端。
阿里云对象存储之文件上传
weixin_53998054的博客
08-19 1485
文件上传
阿里云 Oss 防刷实现
风团团
09-27 1205
最近公司的私有 Oss 服务满了,且 Oss 地址需要设置权限,只有当前系统的登录用户才能访问 Oss 下载地址。一开始想着用 Nginx 做个转发来着,Nginx 每当检测当前请求包含特定的 Oss 地址就转发到我们的统一鉴权接口上去,但是紧接着又细想了一下,转发后的地址被恶意分享出去了,不也还是存在文件泄露的风险吗?于是又去翻阅了一下阿里云的 Oss 权限相关的文档。借此整合一些常用的方法,机械代码自留也是分享给大家。
OSS在private权限下的无参数访问Nginx反向代理实现) ...
测试0901-1
03-20 1469
本文主要介绍内容 oss默认权限策略是private,当修改到public-read或更高权限时会提示存在安全风险。如果需要访问oss资源需要在地址上添加签名内容,不利于地址的存储和使用。本文会介绍如何利用nginx反向代理实现private权限下无参数访问oss资源。 运行环境说明 本文实现环境是:Centos7 系统 + nginx: 1.14.1...
OSS上传文件
qq_44977389的博客
07-15 666
OSS上传文件
阿里云OSS访问权限配置(RAM权限控制)实现
09-14
这样,用户就能按照策略所定义的规则访问OSS资源。 5. **使用OSSBrowser**:配置好权限后,测试人员可以通过OSSBrowser这样的客户端工具,使用分配的AccessKeyId和AccessKeySecret登录,并预设路径为`oss://myBuket...
oss上传资源
09-19
阿里OSS(Object Storage ...综上所述,阿里OSS提供的客户端上传功能结合前端静态资源,为企业和个人提供了高效、安全、经济的云存储解决方案。通过合理的开发和优化,可以极大地提升数据上传的效率和用户的满意度。
如何限制用户仅通过HTTPS方式访问OSS
阿里云技术
01-18 4775
一、当前存在的问题   当前OSS支持用户使用HTTPS/HTTP协议访问Bucket。但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求。   目前OSS可以通过RAM policy方式实现:限制某个用户、角色拒绝通过HTTP协议访问指定的Bucket和对象。但是RAM Policy是一种基于用户的授权方式,无法针对资源进行授权。也就是说无法...
使用STS临时访问凭证访问OSS
猿小白的博客
01-17 2104
假设您是一个移动App开发者,希望使用阿里云OSS服务来保存App的终端用户数据,并且要保证每个App用户之间的数据隔离。此时,您可以使用STS授权用户直接访问OSS
阿里云OSS配置私有Bucket生成STS临时授权Url访问
热门推荐
Peace and Devotion Give me Power
11-17 1万+
阿里云OSS配置私有Bucket生成STS临时授权Url访问 阿里云提供的 权限管理系统 或 访问控制服务 主要包含两部分,RAM(Resource Access Management)和 STS(Security Token Service),RAM 主要的作用是控制账号系统的权限,你可以使用 RAM 在主账号的权限范围内创建子用户,给不同的子用户分配不同的权限从而达到授权管理的目的。STS 是一个安全凭证(Token)的管理系统,你可以使用 STS 来完成对于临时用户的访问授权。 RAM 和 STS 需
阿里云OSS介绍
lym823556031的博客
04-25 853
阿里云对象存储OSS(Object Storage Service)是一款云存储服务,具有与平台无关的RESTful API接口RESTful:用URL定位资源、用HTTP动词(GET、POST、PUT、DELETE)描述操作。可以在任何应用、任何时间、任何地点存储和访问任意类型的数据。主要用于存储非结构化数据,包括图片、视频和文档等。可以选择标准存储(Standard)作为移动应用、大型网站、图片分享或热点音视频的主要存储方式,也可以选择成本更低、存储期限更长的低频访问存储归档存储。
OSS云存储的权限控制、开放接口规范和错误响应以及SpringBoot整合OSS
weixin_44795847的博客
03-23 4015
OSS云存储的权限控制、开放接口规范和错误响应以及SpringBoot整合OSS
nginx 代理oss图片,带权限控制
意识成长的博客
10-18 3452
项目图片存储为对象存储,一般为oss,或者自己部署的分布式文件存储,这些存储方式都自带有文件查看方式。这种查看方式都带有签名,当需要代理的时候,访问就比较麻烦了。现在需要解决oss文件访问! 要求: 1.访问不暴露oss自带域名地址 2. 能通过拼接直接访问图片资源 3. 访问需要鉴权 不解释了,直接上内容,懂得都懂!! upstream aged-upstr{ server 127.0.0.1:11000; } server { li...
【阿里云OSS访问控制
sayyy的专栏
01-12 2930
目录前言概念OSS提供的权限控制策略RAM PolicyBucket PolicyBucket ACLObject ACL当Bucket同时存在多个权限控制策略(如RAM Policy、Bucket Policy、Bucket ACL、Object ACL)时的鉴权流程使用STS临时授权访问OSSOSS资源允许匿名访问的设置方式1:Bucket ACL 设置成公共读方式2:Object ACL 设置成公共读方式3:Bucket Policy 设置指定目录OSS资源匿名访问使用STS临时授权访问OSS 前言
OSS 跨域资源共享
最新发布
08-21
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种安全机制,允许一个域(源)上的网页资源,如JavaScript代码,访问另一个域(源)上的资源。这种机制在Web开发中非常常见,因为出于安全考虑,浏览器强制实施同源策略,即一个域下的脚本只能访问与其同一域下的资源。 为了实现跨域请求,需要服务器在返回的HTTP响应头中包含适当的CORS策略。这包括但不限于: 1. Access-Control-Allow-Origin:指示哪些域可以访问资源。 2. Access-Control-Allow-Methods:指定允许使用的方法,如GET、POST、PUT等。 3. Access-Control-Allow-Headers:允许在请求中携带的头部字段。 4. Access-Control-Allow-Credentials:指定当请求中包含凭证时,是否允许响应。 例如,如果网站 www.example.com 想要从另一个域 api.example.org 获取数据,api.example.org 的服务器需要在其响应中包含特定的CORS头部,以允许 www.example.com 的域进行跨域请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值