在Minio以STS方式获得临时凭据上传文件

最新推荐文章于 2024-05-07 21:43:44 发布
最新推荐文章于 2024-05-07 21:43:44 发布
阅读量2.4k 收藏 9
点赞数 4
文章标签: 前端 linux html 服务器 dreamweaver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vir56k/article/details/130428763
版权

一、写在前面

一个常见的场景是:需要让客户端来上传图片,面临的安全性问题。给与客户端永久凭据无疑是很大风险的,我们还可以选择“给予一个临时凭据,这个凭据关联到一个 授权的用户,我们可以随时停用和修改这个用户具有的权限”

Minio提供了STS 的方式来实现这个方法。

MinIO安全令牌服务(STS)API允许应用程序生成用于访问MinIO部署的临时凭据。参考https://min.io/docs/minio/linux/developers/security-token-service.html

整体方案是:

  1. Minio服务器的web页面创建一个 用户和策略
  2. Java应用服务通过 使用上面的用户信息 使用 API 可取得临时的 凭据 token
  3. 将 临时凭据 给到前端 Web,或者App
  4. 前端使用 临时凭据 和 js API 等,进行对象的上传,获得等。

二、部署和启动 Minio

2.1、安装

wget https://dl.min.io/server/minio/release/linux-amd64//minio
chmod +x minio

这时可使用 ./minio 了

2.2 启动

./minio server /mnt/data

注意:/mnt/data 是图片存放位置

为了使用方便,自己写个启动脚本

export MINIO_ROOT_USER=admin
export MINIO_ROOT_PASSWORD=password
export MINIO_REGION=cn-beijing-2
nohup ./minio server /mnt/data &

*注意:

  • MINIO_ROOT_USER 你的管理员账号
  • MINIO_ROOT_PASSWORD 你的管理员密码
  • MINIO_REGION 是你指定的区域名

2.3 访问控制台

打开网页: http://你的机器:9000

三、配置临时凭据相关的设置项

我采用 web控制台页面来设置,比较方便。
打开 http://你的机器:9000 , 登录进去

3.1、登录控制面板,创建策略

image.png
image.png

图片中编号3: 填写个策略名
图片中编号4: 填写 json 格式描述的具体策略

可以按我的填,下面的json描述了一个可读,写,删,获得桶位置的策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

3.2、创建用户,绑定策略

image.png
image.png

图片中编号4:填写一个 用户名(随便填,记下来要用)
图片中编号5:填写一个 密码(随便填,记下来要用)
图片中编号6:打钩选一个策略,就是我们上面 创建的策略 勾选上。

四、通过Java 获得凭据并上传和获得上传后的URL

1、创一个Maven项目
2、 加入依赖

<dependency>
            <groupId>io.minio</groupId>
            <artifactId>minio</artifactId>
            <version>8.3.3</version>
 </dependency>

3、取得临时凭据
一些静态变量定义

//服务所在ip地址和端口
    public static final String ENDPOINT = "http://10.0.0.102:9000/";

    //mc的用户名
    public static final String ACCESS_KEY_COMPANY = "sts-user";
    //mc的密码
    public static final String SECRET_KEY_COMPANY = "sts-password";
    //aws服务端点
    public static final String REGION = "cn-beijing-2";
    //上传的bucket名
    public static final String BUCKET = "test";
    //授权策略,允许访问名为bucket的桶的目录
    public static final String ROLE_ARN = "arn:aws:s3:::test/*";
    public static final String ROLE_SESSION_NAME = "anysession";
    //定义策略,可进行二次限定
    public static final String POLICY_GET_AND_PUT = "{\n" +
            " \"Version\": \"2012-10-17\",\n" +
            " \"Statement\": [\n" +
            "  {\n" +
            "   \"Effect\": \"Allow\",\n" +
            "   \"Action\": [\n" +
            "    \"s3:GetObject\",\n" +
            "    \"s3:GetBucketLocation\",\n" +
            "    \"s3:PutObject\"\n" +
            "   ],\n" +
            "   \"Resource\": [\n" +
            "    \"arn:aws:s3:::test/*\"\n" +
            "   ]\n" +
            "  }\n" +
            " ]\n" +
            "}";

得到 临时凭据

/**
     * 得到 临时凭据
     */
    private static Credentials getCredentials() throws NoSuchAlgorithmException {
        int durationSeconds = 360000;//秒
        //创建签名对象
        AssumeRoleProvider provider = new AssumeRoleProvider(
                ENDPOINT,
                ACCESS_KEY_COMPANY,
                SECRET_KEY_COMPANY,
                durationSeconds,//默认3600秒失效,设置小于这个就是3600,大于3600就实际值
                POLICY_GET_AND_PUT,
                REGION,
                ROLE_ARN,
                ROLE_SESSION_NAME,
                null,
                null);
        Date expirationDate = DateUtil.getDateByAddMinute(new Date(), durationSeconds / 60);
        /**
         * 打印provider签名属性
         */
        System.out.println("sessionToken=" + provider.fetch().sessionToken());
        System.out.println("accessKey=" + provider.fetch().accessKey());
        System.out.println("secretKey=" + provider.fetch().secretKey());
        System.out.println("isExpired=" + provider.fetch().isExpired());
        System.out.println("expirationDate=" + DateUtil.getDateTimeFormat(expirationDate));

        Credentials credentials = provider.fetch();
        String sessionToken = provider.fetch().sessionToken();
        String accessKey = provider.fetch().accessKey();
        String secretKey = provider.fetch().secretKey();
        return credentials;
    }
// 上传
    private static void putObject(File file, String objectName, Credentials credentials) throws IOException, ServerException, InsufficientDataException, ErrorResponseException, NoSuchAlgorithmException, InvalidKeyException, InvalidResponseException, XmlParserException, InternalException {
        StaticProvider staticProvider = new StaticProvider(credentials.accessKey(), credentials.secretKey(), credentials.sessionToken());
        MinioClient minioClient = MinioClient.builder().endpoint(ENDPOINT).credentialsProvider(staticProvider).build();
        //这个objectName的值是经过上面的policy授权的
        FileInputStream fileInputStream = new FileInputStream(file);
        minioClient.putObject(PutObjectArgs.builder().bucket(BUCKET)
                .object(objectName)
                .contentType("image/jpg")
                .stream(fileInputStream, fileInputStream.available(), -1).build());
    }
// 获得一个 可过期的 URL
    private static String getObjectUrl(String objectName2,Credentials credentials) throws ErrorResponseException, InsufficientDataException, InternalException, InvalidKeyException, InvalidResponseException, IOException, NoSuchAlgorithmException, XmlParserException, ServerException {
        StaticProvider staticProvider = new StaticProvider(credentials.accessKey(), credentials.secretKey(), credentials.sessionToken());
        MinioClient minioClient = MinioClient.builder().endpoint(ENDPOINT).credentialsProvider(staticProvider).build();
        String url =
                minioClient.getPresignedObjectUrl(
                        GetPresignedObjectUrlArgs.builder()
                                .method(Method.GET)
                                .bucket(BUCKET)
                                .object(objectName2)
                                .expiry(2, TimeUnit.HOURS) //过期时间
                                //.extraQueryParams(reqParams)
                                .build());
        System.out.println(url);
        return url;
    }

五、参考:

https://blog.csdn.net/yilvqingtai/article/details/126059858https://min.io/docs/minio/linux/developers/java/API.html

张云飞VIR
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
minio获取上传文件_前端(react)使用minio上传文件
weixin_39901412的博客
12-30 2478
上传代码封装成工具类// 上传文件需要的配置const Minio = require('minio');const stream = require('stream');// 你的minio配置信息const minioClient = new Minio.Client(window.minioConfig);// base64转blobexport function toBlob(base6...
MinIo临时授权
sosozha的博客
11-04 2102
Java - MinIo临时授权使用方案示例
MINIO服务器临时认证Token(STS)
lwq657359703的博客
09-28 8697
MINIO是类似阿里的OSS云存储服务器。它支持AWS S3服务器的一些接口。 1.搭建MINIO服务器 mkdir /usr/local/minio mkdir /usr/local/minio/etc mkdir /usr/local/minio/data cd /usr/local/minio # 等待下载完成 curl -O https://dl.minio.io/server/minio/release/linux-amd64/minio chmod 750 minio # 改成自己的
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取
04-05
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取
minio getPresignedObjectUrl(GetPresignedObjectUrlArgs args)如何使用
最新发布
志存高远
05-07 1290
对象作为参数,这个对象允许你更加灵活地配置生成预签名URL的行为。首先,确保你已经添加了MinIO Java SDK依赖到你的项目中,并且初始化了。替换为你的实际MinIO服务器地址、凭证和目标对象的信息。来配置生成预签名URL的参数。我们指定了存储桶名称()以及URL的有效期为1小时。默认的HTTP方法是。在MinIO Java SDK中,,但如果你有特殊需求,也可以通过。在这个示例中,我们创建了一个。
Java之MinIO存储桶和对象API使用
明亮的技术博客
07-01 8514
MinIO Java Client SDK提供简单的API来访问任何与Amazon S3兼容的对象存储服务。官方demo: https://github.com/minio/minio-java 官方文档:https://docs.min.io/docs/java-client-api-reference.html 新版 MinIO和旧版在 API使用上还是有一定的区别,比如:新版 MinIO采用 Builder构建者模式来构造 MinioClient对象。所以,官方demo仅供参考,尽量查看英文官方文档。
java minio通过getPresignedObjectUrl设置(自定义)预签名URL下载文件的响应文件名之minio源码改造方案
没有简介就是简介
12-17 5504
在用户下载时,想让文件流不通过后端服务器,而是用户直接申请并使用某个要下载对象的Minio预签名的url,直接从Minio所部署的服务器下载该文件。 但是浏览器通过预签名的url下载文件时,由于无法自定义Minio下载文件的请求响应头中的文件名称,所以在浏览器下载时,保存的文件名是以对象名称进行保存的,那么这个文件名是对用户感知等都是不友好的。 所以需要根据预签名url下载文件(我这里是用GET)请求中的filename参数,把响应头的Content-Disposition内容上指定文件名称。
COS临时密匙或MINIO实现文件上传
10-12
COS临时密匙或MINIO实现文件上传
基于Java写minio客户端实现上传下载文件
08-19
在本文中,我们将深入探讨如何使用Java来实现MinIO客户端,以便进行文件上传和下载操作。MinIO是一个高度可扩展的对象存储服务器,适合用于存储和检索大量的非结构化数据,如图片、文档、视频等。它提供了一个简单...
MINIO服务器基于AWS S3 SDK 文件上传及下载(C++实现类)
11-14
在这个场景中,我们将探讨如何使用AWS S3 SDK(Software Development Kit)在C++中实现对MINIO服务器上的文件进行上传和下载。AWS S3 SDK为开发者提供了方便的API接口,可以轻松地在应用程序中集成S3服务。 首先,...
minio实现本地和云端文件同步
02-26
在本文中,我们将深入探讨如何利用Java来实现本地文件MinIO云端存储的同步。 首先,我们需要理解MinIO的核心接口,包括上传、下载和删除文件。在Java中,MinIO提供了`MinioClient`类,这是与MinIO服务器进行交互...
minio通过预签名方式上传,下载,查看
08-01 6940
minio通过预签名方式上传,下载,查看
minio使用临时授权(STS)无法上传对象至bucket
weixin_43847888的博客
04-26 1984
项目场景: 提示:这里简述项目相关背景: 最近新整合minio进行文件的存储,然后需要开放二次策略进行一个临时授权。Java版本11,minio版本8.0.3 问题描述 根据网上的一些教程,成功的整合了minio(具体教程:https://stevenocean.github.io/2021/01/12/minio-sts-assumerole-sample.html),只是进行二次策略进行STS的时候,发现了无法上传对象到bucket,一直报错,提示的是AccessDenied 对应的策略如下 {
关于minio上传文件后,通过presignedGetObject获取的url在浏览器打开后是下载还是预览的问题。
qq_37025054的博客
11-08 2101
当浏览器在请求资源时,会通过http返回头中的content-type决定如何显示/处理将要加载的数据,如果这个类型浏览器能够支持阅览,浏览器就会直接展示该资源,比如png、jpeg、video等格式。在某些下载文件的场景中,服务端可能会返回文件流,并在返回头中带上Content-Type:application/octet-stream,告知浏览器这是一个字节流,浏览器处理字节流的默认方式就是下载。所以传了application/octet-stream打开url默认就是下载。
【避坑】minio临时凭证STS实现上传,下载
07-30 7972
minio临时凭证STS实现上传,下载
SpringBoot集成分布式对象存储(分布式文件)MinIO
小虎哥的技术博客
08-20 677
一、什么是MinIO? 一句话:MinIO是高性能、可扩展、云原生支持、操作简单、开源的分布式对象存储产品。 你可以把它和FastDFS、HDFS作为类比,但它比其它都更简单,极简是MinIO的设计初衷之一,而且他的性能很好。 当然也有很多商用的对象存储服务,如阿里的OSS、腾讯的COS,无需自己维护,但需要付费。自建对象存储还是香。 官网上的一句话:在中国:阿里巴巴、腾讯、百度、中国联通、华为、中国移动等等9000多家企业也都在使用MinIO产品 官网:http://www.minio.org.cn/ 二
minio临时凭证及分享链接的生成和使用(代码篇)
热门推荐
shenyunsese的专栏
07-12 1万+
上一篇文章介绍了minio之对象存储的访问链路minio之对象存储常用访问链路介绍_神云瑟瑟的博客-CSDN博客本篇主要主要介绍标准链路中的临时凭证的生成和使用,以及分享链接的生成主要的pom文件 二、临时凭证的生成,并使用 使用永久凭证构造AssumeRoleProvider对象,然后得到临时accesskey和secretkey。然后再构造StaticProvider对象最后生成minioclient。注意点:临时凭证的默认过期时间是1个小时,可以自定义设置,但是如果设置的值小于1小时,会被
minio临时凭证STS实现上传,下载
09-23
minio临时凭证STS可以通过以下步骤来实现上传和下载: 1. 首先,您需要启用MinIOSTS服务,并确保MinIO运行在gateway模式下,并与etcd配合使用。 2. 然后,您可以使用MinIO提供的STS服务来获取临时凭证。通过使用临时凭证,您可以创建临时的用户身份以及对应的KEY和SECRET。 3. 获取临时凭证后,您可以使用这些凭证进行文件上传和下载操作,就像使用默认凭证一样。 请注意,临时凭证与安装MinIO时的默认凭证类似,但有一些细微的差别。临时凭证有一定的有效期,一旦过期,MinIO将会直接拒绝来自它的任何请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值