minio实现STS签名服务

已于 2022-01-22 22:26:53 修改
阅读量3.8k 收藏 13
点赞数 1
分类专栏: 开发日记 文章标签: docker 容器 运维
于 2022-01-11 17:12:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48460141/article/details/122434278
版权

1、背景

        在上一篇中:Docker部署Minio并与Springboot的集成_木星mx的博客-CSDN博客

        我们介绍了如何部署minio和与springboot的集成方法,但是在上传文件时,采用的是从浏览器获取参数读取本地文件上传,当项目部署到线上时,用户和项目服务处于不同机器上,这种方式就不适用了,因此需要进行升级。

        升级后的效果是:项目服务只提供签名服务,用户通过访问项目提供的接口获取签名,然后用户使用签名上传文件,实现了用户到oss端对端的文件传输

 

 2、实践

        1、工具准备

          (1)sts配置工具aws

                minio本身具备sts签名服务,但需要借助第三方工具配置,我们选择aws

                因此必须先安装aws应用:

//下载安装包

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64-2.0.30.zip" -o "awscliv2.zip"

//解压文件

unzip awscliv2.zip

//安装,root用户sudo可以去掉

sudo ./aws/install

         (2)minio客户端mc

                aws提供的授权服务必须绑定到minio服务上,因此需要一个minio客户端,它可以以命令

                的方式操作minio服务

//在当前目录下载mc

wget https://dl.min.io/client/mc/release/linux-amd64/mc

//设置为可执行

chmod +x mc

//在本目录执行mc命令,查看mc提供的操作命令

./mc --help

        2、为minio(oss)服务绑定sts授权服务

                1、给mc绑定minio服务

                     要让mc控制minio服务,首先得为mc配置minio服务的地址,需要提供:

                     minio的ip和端口号,minio的用户名和密码,local表示配置本地服务

./mc config host add local http://127.0.0.1:9000 username password

                    配置完成之后可以在~/.mc/config.json中查看,local配置好了本地的minio服务

                 

             2、使用mc命令为刚刚配置的minio服务绑定访问策略

                    (1)首先需要创建一个json文件,名字可以随便起,键入以下内容

                        Version是版本号,Action里是允许使用s3接口的删除、获取上传对象功能

                        Resource是访问控制,*表示可以访问minio服务的所有bucket,若想限制访问

                        名为test的bucket可替换成"arn:aws:s3:::test/*" ,表示只可访问名为test的bucket

                        限制访问这一块我们可以在具体编码时实现

{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

               (2)接着就是将json文件中的访问策略正式绑定到minio服务上了

//表示为local的minio服务绑定一个叫minio的访问策略,后面是策略文件的地址

./mc admin policy add local minio /home/mxShop/minio/config/company.json 

                       查看绑定的策略:./mc admin policy info local minio 

                        若出现:-bash: ./mc: No such file or directory,需要切换到mc所在目录

                

                3、创建用户并为该用户绑定策略 

                        策略需要绑定搭配minio用户上,可新建一个,也可使用安装minio服务时的那个

                      (1)创建用户

//为local的minio服务创建一个minio用户,密码为miniopwd

./mc admin user add local minio miniopwd

                        (2)绑定策略

//将前面的minio策略绑定给minio用户

./mc admin policy set local minio user=minio 

                4、使用aws进行sts配置

                        为minio服务绑定完策略后,需要使用aws配置该策略

aws configure --profile minio

                        执行完上面命令后需要进行配置:

                        一、二行是minio用户的信息,三行是aws服务的站点,这里表示中国北京

                        第四行是文件类型

AWS Access Key ID [None]: minio
AWS Secret Access Key [None]: miniopwd
Default region name [None]: cn-north-1
Default output format [None]: json

                        配置完的信息可在~/.aws目录下进行查看和修改

                        

        3、测试 

                输入以下命令

                --profile:指定策略

                --prolicy:进行二次策略限制,格式与之前的策略相同

aws --profile minio  \
--endpoint-url 'http://localhost:9000' \
sts assume-role \
--policy '{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": ["s3:GetObject"],"Resource": ["arn:aws:s3:::*"]}]}' --role-arn 'arn:aws:s3:::*' \
--role-session-name anything

             结果:这些就是我们需要的签名信息了

{
    "Credentials": {
        "AccessKeyId": "JJOUBSPDSK20Y2500847",
        "SecretAccessKey": "QpXMeXQHE+qYGddh5On+DlWYXpenK+j5yOHBn4Hm",
        "SessionToken": "eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJhY2Nlc3NLZXkiOiJKSk9VQlNQRFNLMjBZMjUwMDg0NyIsImV4cCI6MTY0MTg5NTQxNiwicGFyZW50IjoibWluaW8iLCJzZXNzaW9uUG9saWN5IjoiZXlKV1pYSnphVzl1SWpvZ0lqSXdNVEl0TVRBdE1UY2lMQ0pUZEdGMFpXMWxiblFpT2lCYmV5SkZabVpsWTNRaU9pQWlRV3hzYjNjaUxDSkJZM1JwYjI0aU9pQmJJbk16T2tkbGRFOWlhbVZqZENKZExDSlNaWE52ZFhKalpTSTZJRnNpWVhKdU9tRjNjenB6TXpvNk9pb2lYWDFkZlE9PSJ9.Gt2I3TG0jpvApAQrrS1QEZV0N3cIbtXnbNQ07-qe2cLb-uty-IaiVYhCyUHG80vwqJCxjnHiqYitziMWZna6sg",
        "Expiration": "2022-01-11T10:03:36+00:00"
    },
    "AssumedRoleUser": {
        "Arn": ""
    }
}

         4、java代码测试使用签名上传

                需要注意的是,这里的二次策略限制,范围必须在之前配置的策略范围内,超出绑定策略范围会报错,这里是限制了只能访问名为bucket的桶,若将BUCKET的值改为其他桶的名称会被拒绝(报错)

public class Test03 {
    //服务所在ip地址和端口
    public static final String ENDPOINT = "http://192.17.54.1:9000/";
    //mc的用户名
    public static final String ACCESS_KEY_COMPANY = "minio";
    //mc的密码
    public static final String SECRET_KEY_COMPANY = "miniopwd";
    //aws服务端点
    public static final String REGION = "cn-north-1";
    //上传的bucket名
    public static final String BUCKET = "bucket";
    //授权策略,允许访问名为bucket的桶的目录
    public static final String ROLE_ARN = "arn:aws:s3:::bucket/*";
    public static final String ROLE_SESSION_NAME = "anysession";
    //定义策略,可进行二次限定
    public static final String POLICY_GET_AND_PUT = "{\n" +
            " \"Version\": \"2012-10-17\",\n" +
            " \"Statement\": [\n" +
            "  {\n" +
            "   \"Effect\": \"Allow\",\n" +
            "   \"Action\": [\n" +
            "    \"s3:GetObject\",\n" +
            "    \"s3:PutObject\"\n" +
            "   ],\n" +
            "   \"Resource\": [\n" +
            "    \"arn:aws:s3:::bucket/*\"\n" +
            "   ]\n" +
            "  }\n" +
            " ]\n" +
            "}";
    public static void main(String[] args) {
        try {
            //创建签名对象
            AssumeRoleProvider provider = new AssumeRoleProvider(
                    ENDPOINT,
                    ACCESS_KEY_COMPANY,
                    SECRET_KEY_COMPANY,
                    3600,//默认3600秒失效,设置小于这个就是3600,大于3600就实际值
                    POLICY_GET_AND_PUT,
                    REGION,
                    ROLE_ARN,
                    ROLE_SESSION_NAME,
                    null,
                    null);
            /**
             * 打印provider签名属性
             */
            System.out.println(provider.fetch().sessionToken());
            System.out.println(provider.fetch().accessKey());
            System.out.println(provider.fetch().secretKey());
            System.out.println(provider.fetch().isExpired());
            //使用签名获取mc对象
            MinioClient minioClient = MinioClient.builder()
                    .endpoint(ENDPOINT)
                    .credentialsProvider(provider)
                    .build();
            String filename = "任务(1).docx";
            try {
                //对象流,获取文件
                BufferedInputStream bis = new BufferedInputStream(new FileInputStream("C:\\Users\\Administrator\\Desktop\\" + filename));
                //使用mc对象上传文件
                minioClient.putObject(PutObjectArgs.builder()
                        //桶名和aws服务端点
                        .bucket(BUCKET).region(REGION)
                        //前缀和对象名
                        .object("mx/" + filename)
                        .stream(bis, bis.available(), -1)
                        .build());
                System.out.println("文件上传成功!!");
            } catch (ErrorResponseException e) {
                e.printStackTrace();
            } catch (InsufficientDataException e) {
                e.printStackTrace();
            } catch (InternalException e) {
                e.printStackTrace();
            } catch (InvalidKeyException e) {
                e.printStackTrace();
            } catch (InvalidResponseException e) {
                e.printStackTrace();
            } catch (IOException e) {
                e.printStackTrace();
            } catch (ServerException e) {
                e.printStackTrace();
            } catch (XmlParserException e) {
                e.printStackTrace();
            }
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }

    }
}

木星mx
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
minio存储类型 归档管理页面_MinIOSTS 尝试及注意事项
weixin_28788181的博客
12-25 885
前言在上一篇博文 进可攻退可守的存储解决方案 中,有提到两种文件保护方式:一种是多用户方式,每个用户使用单独的 KEY 和 SECRET 上传下载;另外一种则是生成带签名的 URL 给用户上传下载。多用户方式下,除了创建长期用户,还可以通过 MinIO 提供的 Security Token Service(STS)创建「临时的用户身份」和对应的 KEY 与 SECRET,用户在有效内可以凭此进行文...
MinIO - 服务签名直传(前端 + 后端 + 效果演示)
最新发布
CYK_byte的博客
07-08 619
传统的,我们有两种方式将图片上传到 OSS:a)前端请求 -> 后端服务器 -> OSS好处:在服务端上传,更加安全.坏处:给服务器带来压力.b)直接写在前端 js 代码中好处:效率高,不用给服务器带来额外压力.坏处:危险,用户直接可以看得到 OSS账号密码 信息.用户直接去服务器请求获取上传签名(账号密码加密生成的防伪签名,一般有过期时间),服务器就返回防伪签名,然后用户就可以拿着签名和要上传的文件,通过表单直接上传到 OSS 中.
四.minio前端获取签名地址直传minio文件服务器(前端直传)
热门推荐
yuguang的博客
08-10 3万+
1.概述 2.前端直接
uniapp根据minio签名地址实现文件直传
METEORS7的博客
05-29 817
uniapp前端minio签名直传
linux和java项目中minio中利用STS获取签名
qq164425443的博客
10-10 925
这里不再演示如何下载aws和mc工具,网上有很多,可以自己找。这里我只说下一些命令的基本用法。这里的docker_minio就是上面创建的docker_minio。找原因是第二次做限定的时候参数没写对。这里一定要写对参数就行了。为了让mc命令全局使用,假如你的mc文件在/home下。上面链接有,我第一次报错403。
MinIO Java SDK设置子域名模式获取存储桶中对象的预签名链接
qq_37436987的博客
11-29 612
MinIO Java SDK设置子域名模式获取存储桶中对象的预签名链接
Minio对象存储STS部署
古今来色色形形无非是戏,天地间奇奇怪怪何必认真.
02-07 1981
minio对象存储部署STS访问
Java实现MinIO文件服务
07-04
随着云计算技术的发展,许多高效、便捷的文件存储服务应运而生,其中MinIO就是一个备受青睐的开源对象存储解决方案。本篇文章将详细探讨如何使用Java与MinIO进行文件服务器的实现MinIO是一款高性能、企业级的...
springboot集成minio实现的文件服务组件(含Vue前端源码).zip
06-24
总的来说,这个项目涵盖了SpringBoot、MinIO集成、文件服务组件的设计与实现、前端Vue.js的使用以及分片上传等技术,是学习和实践现代Web应用开发的一个良好示例。通过这个项目,开发者不仅可以掌握文件存储服务的...
minio文件存储服务
08-16
新建一个目录存放minio文件,如 D:\minioData,CMD进入刚刚下载的minio.exe所在目录,直接在cmd下运行:minio.exe server D:\minioData 启动成功以后如记住显示的access Key和Secret Key (默认全是minioadmin) ...
minio 文件服务
07-10
下载后,解压并在命令行中运行MinIO服务,通常命令如下: ```bash ./minio server /path/to/data ``` 这里的`/path/to/data`是你要存储数据的目录。 **配置MinIO** MinIO支持多节点集群部署,可以通过配置文件或...
minio-multipart-upload:使用预先签名的URL的分段上传对象
05-11
快速入门指南 介绍 使用预签名URL的多部分对象可以直接上传到服务器,而无需通过业务服务器进行传输。 这只是一个简单的演示,请根据实际业务改进代码。 整合范例 卷曲示例: 初始化分段上传 $ curl --location --request POST ' 127.0.0.1:8006/multipart/init ' \ --header ' Content-Type: application/json ' \ --data-raw ' { "filename": "b.jpg", "partCount": 2, "contentType": "image/jpeg" } ' 响应示例: { "uploadId" : "b7dd9a60-7c11-43f1-acee-bffd4ef2fccb" , "uploadUrls" : [
minio实现本地和云端文件同步
02-26
MinIO是一款开源的对象存储服务,它能够提供与Amazon S3兼容的API,便于开发者构建云存储应用。在本文中,我们将深入探讨如何利用Java来实现本地文件与MinIO云端存储的同步。 首先,我们需要理解MinIO的核心接口,...
【避坑】minio临时凭证STS实现上传,下载
07-30 7963
minio临时凭证STS实现上传,下载
minio生成临时凭据(sts)可控制临时凭据持续时长
qq_60754334的博客
06-06 1154
项目实施环境:已使用wsl(适用于windows的linux子系统)启动minio服务;使用windows登录minio控制台,进行桶、用户、策略的设置。
minio通过预签名方式上传,下载,查看
08-01 6932
minio通过预签名方式上传,下载,查看
Minio部署在服务器上,分享图片等文件提示,签名不对
weixin_44892327的博客
01-04 1175
我访问图片都是要把ip改了再去访问,但是一开始并没发觉是这里的问题,因为我看到csdn上有人说把地址改了访问也能正常打开图片。捏妈妈的,就少了一个0.0.0.0, 这个代表着本机地址,这个时候我在重启minio分享图片的时候可以正常显示了。最后发现,我的分享链接是127.0.0.1的地址,并不是我的服务器本机的地址。找了很多解释,什么nginx代理问题啊,什么端口问题啊 什么防火墙问题啊。问题描述: 上传没问题 下载没问题 就是分享有问题,签名有问题。最后我是这样解决把启动命令改了就行了。
java minio通过getPresignedObjectUrl设置(自定义)预签名URL下载文件的响应文件名之minio源码改造方案
没有简介就是简介
12-17 5487
在用户下载时,想让文件流不通过后端服务器,而是用户直接申请并使用某个要下载对象的Minio签名的url,直接从Minio所部署的服务器下载该文件。 但是浏览器通过预签名的url下载文件时,由于无法自定义Minio下载文件的请求响应头中的文件名称,所以在浏览器下载时,保存的文件名是以对象名称进行保存的,那么这个文件名是对用户感知等都是不友好的。 所以需要根据预签名url下载文件(我这里是用GET)请求中的filename参数,把响应头的Content-Disposition内容上指定文件名称。
Minio python实现分片预签名上传
llc的博客
01-29 1441
签名上传简化了上传流程,将前端→后端→对象存储转化为前端→对象存储,节省了上传带宽预签名与分片上传相结合,解决了大文件上传限制,并利用Minio分片合并机制大大加快了分片合并的速度。
minio临时凭证STS实现上传,下载
09-23
minio临时凭证STS可以通过以下步骤来实现上传和下载: 1. 首先,您需要启用MinIOSTS服务,并确保MinIO运行在gateway模式下,并与etcd配合使用。 2. 然后,您可以使用MinIO提供的STS服务来获取临时凭证。通过使用临时凭证,您可以创建临时的用户身份以及对应的KEY和SECRET。 3. 获取到临时凭证后,您可以使用这些凭证进行文件的上传和下载操作,就像使用默认凭证一样。 请注意,临时凭证与安装MinIO时的默认凭证类似,但有一些细微的差别。临时凭证有一定的有效期,一旦过期,MinIO将会直接拒绝来自它的任何请求。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值