阿里云OSS使用STS临时授权访问

最新推荐文章于 2024-06-02 08:45:00 发布
最新推荐文章于 2024-06-02 08:45:00 发布
阅读量1.1w 收藏 14
点赞数 3
分类专栏: 后台 移动开发 文章标签: OSS 阿里云 STS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangkangv/article/details/88663167
版权

阿里云控制台配置

1. 创建用户
在这里插入图片描述
2. 创建角色
在这里插入图片描述
3. 创建权限策略
在这里插入图片描述

此为权限策略的脚本,表示对your-Bucket-name有读写权限,修改your-Bucket-name成你的Bucket。

{
   "Version": "1",
   "Statement": [{
   	"Effect": "Allow",
   	"Action": [
   		"oss:DeleteObject",
   		"oss:ListParts",
   		"oss:AbortMultipartUpload",
   		"oss:PutObject"
   	],
   	"Resource": [
   		"acs:oss:*:*:your-Bucket-name",
   		"acs:oss:*:*:your-Bucket-name/*"
   	]
   }]
}

4. 将权限策略赋予角色。

在这里插入图片描述

5. 临时授权访问权限
上面的步骤中,我们创建了用户、角色、访问权限,至此应该很容易理解,那就是角色拥有权限,用户在扮演某个角色。但是如果在用户扮演角色的时候不进行控制,那么一个用户就可以扮演任何角色了,这显然是不可以的,临时授权访问实际就是控制用户可以扮演哪些角色。每个角色都有一个ARN值,这个需要我们先记录下来,将来会用到。
查看ARN

在这里插入图片描述

然后新建策略,在Resource处填写刚才得到的ARN。

在这里插入图片描述脚本内容

{
   "Statement": [{
   	"Action": "sts:AssumeRole",
   	"Effect": "Allow",
   	"Resource": "acs:ram::1894xxxxxx722283:role/ramtestappreadonly"
   }],
   "Version": "1"
}

这一步的意思是,新建了一个权限,这个权限的内容就是可以扮演acs?:1894xxxxxx722283:role/ramtestappreadonly这个角色。
6.用户配置
在这里插入图片描述在权限管理中,将第5步创建的临时授权访问权限赋予用户,这就意味着,该用户可以扮演这个角色了。

在这里插入图片描述注意:我们好像只允许了用户可以扮演某个角色的权限,但是并没有设置具体的扮演哪个角色,这一步将在服务端代码中进行设置。
**

PHP服务端使用STS授权访问

**


require_once('aliyun-php-sdk-core/Config.php');
require_once('aliyun-oss-php-sdk-master/autoload.php');

use Sts\Request\V20150401 as Sts;
use OSS\OssClient;
use OSS\Core\OssException;
use OSS\Http\RequestCore;
use OSS\Http\ResponseCore;

$endpoint = "<在oss控制台中选择某Bucket后查看>";
$STSaccessKeyID = "<在第6步用户配置中创建并记录>";
$STSaccessKeySecret = "<在第6步用户配置中创建并记录>";
$STSroleArn = "<在第5步临时授权访问中查看>";
$bucket = "<你的bucket名称>";
$OSSfilename = "<上传到OSS的路径+文件名>";
$tokenExpire = 900;//过期时间 单位s 最小900 最大3600
//Policy的意义是仅允许用户操作bucket上传指定的文件,
//例如:我用userid当做用户头像的文件名称,当userid=1001的用户上传头像时,
//$OSSfilename = "usericon/1001.jpg",就相当于对该用户开放了写权限。
$policy = '{
	"Statement": [
		{
		"Action": [
			"oss:PutObject",
			"oss:ListParts"
		],
		"Effect": "Allow",
		"Resource": [
			"acs:oss:*:*:'.$bucket.'/'.$OSSfilename.'"
		]
		}
	],
	"Version": "1"
}';

$iClientProfile = DefaultProfile::getProfile("cn-hangzhou", $STSaccessKeyID, $STSaccessKeySecret);
$client = new DefaultAcsClient($iClientProfile);
$request = new Sts\AssumeRoleRequest();
$request->setRoleSessionName("aaa");
$request->setRoleArn($STSroleArn);	/**	这里才真正的让用户扮演了角色。**/
$request->setPolicy($policy);		/**	进一步设置用户此次请求的操作权限。**/
$request->setDurationSeconds($tokenExpire);
$response = $client->doAction($request);
$body = $response->getBody();
$content = json_decode($body);//STS临时授权凭证

//我自己封装返回结果;
$res = array();
$res['status'] = 0;
if ($response->getStatus() == 200)
{
	$res['status'] = 200;
	$res['Endpoint'] = $endpoint;
	$res['AccessKeyId'] = $content->Credentials->AccessKeyId;
	$res['AccessKeySecret'] = $content->Credentials->AccessKeySecret;
	$res['SecurityToken'] = $content->Credentials->SecurityToken;
	$res['BucketName'] = $bucket;
	$res['FileName'] = $OSSfilename;
}
echo json_encode($res);

$res的内容,客户端使用这些参数进行文件操作。

{
    "status":200,
    "Endpoint":"http://oss-cn-hangzhou.aliyuncs.com",
    "AccessKeyId":"STS.NKGc1ADSgECCSYYqM5HDhUiMr",
    "AccessKeySecret":"CihpVTTtzQeGCeVJjHwYtKPq6MLHXQuo81xKHMBcsQ4F",
    "SecurityToken":"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",
    "BucketName":"XXXXXXXXX",
    "FileName":"XXXXXXX.jpg"
}

客户端C#测试

//发起HTTP-GET请求;
static string HttpGet(string url)
{
    string result = string.Empty;
    try
    {
        HttpWebRequest wbRequest = (HttpWebRequest)WebRequest.Create(url);
        wbRequest.Method = "GET";
        HttpWebResponse wbResponse = (HttpWebResponse)wbRequest.GetResponse();
        using (Stream responseStream = wbResponse.GetResponseStream())
        {
            using (StreamReader sReader = new StreamReader(responseStream))
            {
                result = sReader.ReadToEnd();
            }
        }
    }
    catch (Exception)
    {
        return null;
    }
    return result;
}

static void Main(string[] args)
{
    //请求服务器获取STS参数;
    string res = HttpGet("http://127.0.0.1/public/STS_Test.php");
    JSONNode json = JSON.Parse(res);	//JSON对象来源于SimpleJSON库,百度下载;

    //初始化OSS;
    OssClient ossStsClient = new OssClient(json["Endpoint"], json["AccessKeyId"], json["AccessKeySecret"], json["SecurityToken"]);
    //本地文件路径;
    string localFile = "D://testImage.jpg";
    try
    {
        //上传文件;
        ossStsClient.PutObject(json["BucketName"], json["FileName"], localFile);
        Console.WriteLine("Put object succeeded");
    }
    catch (Exception ex)
    {
        Console.WriteLine("Put object failed, {0}", ex.Message);
    }
    Console.ReadKey();
}

从客户端代码可以看出,前端不用保存任何OSS的参数,每次发起请求都会生成新的AccessKeyId和AccessKeySecret,并且可以限制客户端只能修改指定文件,安全性得到了提高。
你可以尝试修改json[“FileName”]的值,看看是否能够修改其他文件。

如果要在WEB端访问STS,请看《WEB STS方式访问》

皮皮Z
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
阿里云OSS PHP STS SDK上传demo
09-12
阿里云OSS PHP STS SDK上传demo,在您使用STS SDK前,请仔细阅读RAM使用指南中的角色管理部分,并阅读STS API文档
阿里云OSS上传、下载、STS授权(Java篇)
如果人生就像一场梦,那就希望你做个好梦!
08-05 5853
声明:步骤比较长,如果你已经配置好OSS,直接拉到最后代码实现部分 1.首先申请oss,创建一个Bucket。 1)创建Bucket 2)红框内容建议选项,其余的随意 3)创建完成找到Bucket列表,选择刚创建的Bucket 4)绑定自己的域名(这一步可选,为了后期访问资源路径的统一性,记得打开CNANE选项) 2.创建RAM角色 1) 断点续传上传阿里云文档说明https://help.aliyun.com/document_detail/84785.html?spm=a2c4g.11186
使用STS临时访问凭证通过客户端直连OSS对象存储服务器
最新发布
Hacynn的博客
06-02 1361
客户端直传是指客户端直接上传文件到对象存储OSS。相对于服务端代理上传,客户端直传避免了业务服务器中转文件,提高了上传速度,节省了服务器资源。 在典型的服务端和客户端架构下,常见的文件上传方式是服务端代理上传:客户端将文件上传到业务服务器,然后业务服务器将文件上传到OSS。在这个过程中,一份数据需要在网络上传输两次,会造成网络资源的浪费,增加服务端的资源开销。为了解决这一问题,可以在客户端直连OSS来完成文件上传,无需经过业务服务器中转。
PHP实现阿里云OSSSTS认证(ThinkPhp5.0框架)
weixin_42001930的博客
05-26 2604
1、先讲下初心,要实现需求客户端上传图片或者视频到阿里云OSS,使用STS认证方式(类似于客户端向服务端要认证签名),在做OSSSTS认证时发现关于php实现这块的技术播客写的普遍笼统,于是决定写一遍相对完整的 2、看博客之前还请大家先看下这个官方文档https://help.aliyun.com/document_detail/31920.html,看步骤一和步骤二就可以了,步骤一的操作要完成 3、如何使用(这是在thinkphp5.0框架下的使用方法),下图红框中的扩展包是你在官方文档步骤二里面.
STS临时授权访问OSS
小半的博客
06-23 3803
STS临时授权访问OSS需要配合RAM子账号一起使用 具体使用流程参考:STS临时授权访问OSS 这里我列出我的代码,以备以后复制使用。 文章目录后端代码依赖Controller前端代码上传测试 后端代码 依赖 <dependency> <groupId>com.aliyun</groupId> <artifactId>aliyun-...
STS临时授权访问OSS你知道了吗
我想问问天的专栏
02-16 2224
前言 最近在做跟oss上传相关的一些东西,一开始方案是前端直接上传,oss的key,secret都由前端自己配置。但是这样会存在一些安全问题,如果这个账号的账密被泄露了,权限没有做控制的话。不法分子就可以对我们的 oss上的文件进行各种操作,删除啊,下载之类的。 既然有这种安全问题,咱们肯定是要解决的。经过查看官方文档知道,阿里云oss支持使用临时token的方式,前端或者说上传者只要拿到了这个t...
java实现使用STS临时访问凭证访问阿里云OSS.zip
04-01
Java 实现使用STS(Security Token Service)临时访问凭证访问阿里云OSS(Object Storage Service)是一种安全的访问控制策略。STS允许您为第三方或者短期任务分配一个临时的、有限权限的访问令牌,而不是直接分享您...
关于阿里云oss获取sts凭证 app直传 python的实例
09-18
在本文中,我们会介绍如何使用Python来获取阿里云OSSSTS凭证,并且实现app直传的功能。我们将基于aliyun-python-sdk-core和aliyun-python-sdk-sts这两个SDK来实现。 首先,需要安装aliyun-python-sdk-core和...
阿里云OSS临时授权STS直传视频文件到OSS服务器教程(含所需的核心js代码)
12-30
阿里云对象存储服务(Object Storage Service,简称OSS),是一种基于网络的数据存储服务,能够提供高可用、高安全、低成本的云端存储...此外,由于使用STS临时授权,权限管理更为灵活,可以根据业务需求动态调整。
阿里云视频点播 临时授权 STS
07-09
阿里云视频点播服务是一种高效、安全的在线视频托管...以上是对阿里云视频点播服务和STS临时授权的概述,以及它们在ThinkPHP5框架中的应用。通过理解和掌握这些知识点,开发者可以更好地实现安全、灵活的视频点播功能。
上传文件到阿里云OSS-uniapp.zip
09-22
- 项目支持图片、音频、视频等多种资源类型的上传,这意味着你可以将用户的头像、音乐文件、短视频等存储在阿里云OSS上,以便于后续的访问和处理。 3. **安全性考虑**: - 为了保护敏感的AccessKey信息,通常不...
阿里云STS临时令牌操作OSS云存储
qq_41561195的博客
12-23 2459
阿里云STS临时令牌操作OSS云存储 参考:官方文档1官方文档2 STS获取临时令牌操作OSS云存储 项目集成了swagger2自动接口文档,如未集成,需要将@Api、@ApiOperation等注解去掉 为什么要使用sts去操作? 直接使用账号的权限去操作OSS,账号拥有所有权限,使用RAM创建账号子用户,分离部分权限出来,提高OSS安全性能。 前期准备 阿里云控制台操作步骤 通过OSS SDK...
阿里OSS STS临时授权访问 C语言实现
wzj_whut的专栏
01-28 538
使用curl和openssl实现阿里STS授权访问OSS 官方文档 https://help.aliyun.com/document_detail/100624.html?spm=a2c4g.11186623.6.622.50f27e0f66h6C2 阿里控制台 -&amp;gt; 访问控制 -&amp;gt; 用户管理 -&amp;gt; 新建用户 -&amp;gt; 创建AccessKey 将AccessKey ID, Ac...
阿里云oss通过sts securityToken获取自签名授权链接php版
etafort的博客
03-25 813
为什么官方文档没有类似说明?也许是大有大的难处吧!累死本小白了!!
Android阿里云OSS鉴权模式(STS)上传图片文件
m0_58019259的博客
12-30 1333
Android阿里云OSS鉴权模式(STS)上传图片文件
阿里云OSS,PHP授权STS全流程
ling_fengxue的博客
12-25 4302
话不多说,直接上干活。 阿里云控制台授权 第一步:OSS控制台子账号授权: 第二步:对子账号授权: 记录下AccessKeyID,AccessKeySecret和RoleArn值; 第三步:对子账号添加授权策略 如图给子账号添加AliyunSTSAssumeRoleAccess策略 2.PHP服务器部署STS授权代码 将STS-Service部署到应用服务器地址上。 ...
阿里云 oss 视频上传 sts+前端js分片上传
bianenhui91的专栏
10-17 9983
目录 第1步 必要参数获取 第2步 执行下面php后端请求接口代码的两个类进行sts获取令牌获取 2.1 php后端请求接口 2.2 返回结果 第3步 前端获通过js获取上面的返回的3个参数 实现分片上传 第4步 上传成功后异步回调处理 第1步 必要参数获取 参数名 参数说明 备注 Endpoin.........
PHP&Laravel通过阿里STS临时授权访问OSS
donjan的博客
04-15 1888
文章目录创建子账号创建策略创建角色安装SDK获取临时凭证 创建子账号 云账号登录RAM控制台:https://ram.console.aliyun.com 创建一个可以编程访问的子账号,记录下AccessKey ID和AccessKey Secret。 并添加AliyunSTSAssumeRoleAccess权限 创建策略 访问:https://ram.console.aliyun.com/policies 创建策略,这里有很多系统策略,都具有比较高的权限,咱们需要创建一个只具备上传到OSS访问的策略
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值