阿里云OSS使用STS临时授权访问

最新推荐文章于 2024-06-10 01:50:19 发布
最新推荐文章于 2024-06-10 01:50:19 发布
阅读量1.1w 收藏 14
点赞数 3
分类专栏: 后台 移动开发 文章标签: OSS 阿里云 STS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangkangv/article/details/88663167
版权

阿里云控制台配置

1. 创建用户
在这里插入图片描述
2. 创建角色
在这里插入图片描述
3. 创建权限策略
在这里插入图片描述

此为权限策略的脚本,表示对your-Bucket-name有读写权限,修改your-Bucket-name成你的Bucket。

{
   "Version": "1",
   "Statement": [{
   	"Effect": "Allow",
   	"Action": [
   		"oss:DeleteObject",
   		"oss:ListParts",
   		"oss:AbortMultipartUpload",
   		"oss:PutObject"
   	],
   	"Resource": [
   		"acs:oss:*:*:your-Bucket-name",
   		"acs:oss:*:*:your-Bucket-name/*"
   	]
   }]
}

4. 将权限策略赋予角色。

在这里插入图片描述

5. 临时授权访问权限
上面的步骤中,我们创建了用户、角色、访问权限,至此应该很容易理解,那就是角色拥有权限,用户在扮演某个角色。但是如果在用户扮演角色的时候不进行控制,那么一个用户就可以扮演任何角色了,这显然是不可以的,临时授权访问实际就是控制用户可以扮演哪些角色。每个角色都有一个ARN值,这个需要我们先记录下来,将来会用到。
查看ARN

在这里插入图片描述

然后新建策略,在Resource处填写刚才得到的ARN。

在这里插入图片描述脚本内容

{
   "Statement": [{
   	"Action": "sts:AssumeRole",
   	"Effect": "Allow",
   	"Resource": "acs:ram::1894xxxxxx722283:role/ramtestappreadonly"
   }],
   "Version": "1"
}

这一步的意思是,新建了一个权限,这个权限的内容就是可以扮演acs?:1894xxxxxx722283:role/ramtestappreadonly这个角色。
6.用户配置
在这里插入图片描述在权限管理中,将第5步创建的临时授权访问权限赋予用户,这就意味着,该用户可以扮演这个角色了。

在这里插入图片描述注意:我们好像只允许了用户可以扮演某个角色的权限,但是并没有设置具体的扮演哪个角色,这一步将在服务端代码中进行设置。
**

PHP服务端使用STS授权访问

**


require_once('aliyun-php-sdk-core/Config.php');
require_once('aliyun-oss-php-sdk-master/autoload.php');

use Sts\Request\V20150401 as Sts;
use OSS\OssClient;
use OSS\Core\OssException;
use OSS\Http\RequestCore;
use OSS\Http\ResponseCore;

$endpoint = "<在oss控制台中选择某Bucket后查看>";
$STSaccessKeyID = "<在第6步用户配置中创建并记录>";
$STSaccessKeySecret = "<在第6步用户配置中创建并记录>";
$STSroleArn = "<在第5步临时授权访问中查看>";
$bucket = "<你的bucket名称>";
$OSSfilename = "<上传到OSS的路径+文件名>";
$tokenExpire = 900;//过期时间 单位s 最小900 最大3600
//Policy的意义是仅允许用户操作bucket上传指定的文件,
//例如:我用userid当做用户头像的文件名称,当userid=1001的用户上传头像时,
//$OSSfilename = "usericon/1001.jpg",就相当于对该用户开放了写权限。
$policy = '{
	"Statement": [
		{
		"Action": [
			"oss:PutObject",
			"oss:ListParts"
		],
		"Effect": "Allow",
		"Resource": [
			"acs:oss:*:*:'.$bucket.'/'.$OSSfilename.'"
		]
		}
	],
	"Version": "1"
}';

$iClientProfile = DefaultProfile::getProfile("cn-hangzhou", $STSaccessKeyID, $STSaccessKeySecret);
$client = new DefaultAcsClient($iClientProfile);
$request = new Sts\AssumeRoleRequest();
$request->setRoleSessionName("aaa");
$request->setRoleArn($STSroleArn);	/**	这里才真正的让用户扮演了角色。**/
$request->setPolicy($policy);		/**	进一步设置用户此次请求的操作权限。**/
$request->setDurationSeconds($tokenExpire);
$response = $client->doAction($request);
$body = $response->getBody();
$content = json_decode($body);//STS临时授权凭证

//我自己封装返回结果;
$res = array();
$res['status'] = 0;
if ($response->getStatus() == 200)
{
	$res['status'] = 200;
	$res['Endpoint'] = $endpoint;
	$res['AccessKeyId'] = $content->Credentials->AccessKeyId;
	$res['AccessKeySecret'] = $content->Credentials->AccessKeySecret;
	$res['SecurityToken'] = $content->Credentials->SecurityToken;
	$res['BucketName'] = $bucket;
	$res['FileName'] = $OSSfilename;
}
echo json_encode($res);

$res的内容,客户端使用这些参数进行文件操作。

{
    "status":200,
    "Endpoint":"http://oss-cn-hangzhou.aliyuncs.com",
    "AccessKeyId":"STS.NKGc1ADSgECCSYYqM5HDhUiMr",
    "AccessKeySecret":"CihpVTTtzQeGCeVJjHwYtKPq6MLHXQuo81xKHMBcsQ4F",
    "SecurityToken":"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",
    "BucketName":"XXXXXXXXX",
    "FileName":"XXXXXXX.jpg"
}

客户端C#测试

//发起HTTP-GET请求;
static string HttpGet(string url)
{
    string result = string.Empty;
    try
    {
        HttpWebRequest wbRequest = (HttpWebRequest)WebRequest.Create(url);
        wbRequest.Method = "GET";
        HttpWebResponse wbResponse = (HttpWebResponse)wbRequest.GetResponse();
        using (Stream responseStream = wbResponse.GetResponseStream())
        {
            using (StreamReader sReader = new StreamReader(responseStream))
            {
                result = sReader.ReadToEnd();
            }
        }
    }
    catch (Exception)
    {
        return null;
    }
    return result;
}

static void Main(string[] args)
{
    //请求服务器获取STS参数;
    string res = HttpGet("http://127.0.0.1/public/STS_Test.php");
    JSONNode json = JSON.Parse(res);	//JSON对象来源于SimpleJSON库,百度下载;

    //初始化OSS;
    OssClient ossStsClient = new OssClient(json["Endpoint"], json["AccessKeyId"], json["AccessKeySecret"], json["SecurityToken"]);
    //本地文件路径;
    string localFile = "D://testImage.jpg";
    try
    {
        //上传文件;
        ossStsClient.PutObject(json["BucketName"], json["FileName"], localFile);
        Console.WriteLine("Put object succeeded");
    }
    catch (Exception ex)
    {
        Console.WriteLine("Put object failed, {0}", ex.Message);
    }
    Console.ReadKey();
}

从客户端代码可以看出,前端不用保存任何OSS的参数,每次发起请求都会生成新的AccessKeyId和AccessKeySecret,并且可以限制客户端只能修改指定文件,安全性得到了提高。
你可以尝试修改json[“FileName”]的值,看看是否能够修改其他文件。

如果要在WEB端访问STS,请看《WEB STS方式访问》

皮皮Z
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
阿里云OSS PHP STS SDK上传demo
09-12
阿里云OSS PHP STS SDK上传demo,在您使用STS SDK前,请仔细阅读RAM使用指南中的角色管理部分,并阅读STS API文档
阿里云STS临时令牌操作OSS云存储(java)
一起coding,一起嗨。
03-30 4872
使用STS临时访问凭证访问OSS https://help.aliyun.com/document_detail/100624.html?spm=a2c4g.11186623.2.19.515649e8zOIom1#concept-xzh-nzk-2gb 一、引入依赖 <dependency> <groupId>com.aliyun.oss</groupId> <artifactId>al
使用STS临时访问凭证访问OSS
最新发布
dama2331的专栏
06-10 104
使用STS临时访问凭证访问OSS_对象存储(OSS)-阿里云帮助中心
Android阿里云OSS鉴权模式(STS)上传图片文件
m0_58019259的博客
12-30 1317
Android阿里云OSS鉴权模式(STS)上传图片文件
阿里云OSS上传、下载、STS授权(Java篇)
如果人生就像一场梦,那就希望你做个好梦!
08-05 5786
声明:步骤比较长,如果你已经配置好OSS,直接拉到最后代码实现部分 1.首先申请oss,创建一个Bucket。 1)创建Bucket 2)红框内容建议选项,其余的随意 3)创建完成找到Bucket列表,选择刚创建的Bucket 4)绑定自己的域名(这一步可选,为了后期访问资源路径的统一性,记得打开CNANE选项) 2.创建RAM角色 1) 断点续传上传阿里云文档说明https://help.aliyun.com/document_detail/84785.html?spm=a2c4g.11186
阿里云OSS文件上传(分片上传、断点续传)前后端实现
热门推荐
零度的博客专栏
03-16 1万+
阿里云oss 文件上传 分片上传 断点续传
java实现使用STS临时访问凭证访问阿里云OSS.zip
04-01
Java 实现使用STS(Security Token Service)临时访问凭证访问阿里云OSS(Object Storage Service)是一种安全的访问控制策略。STS允许您为第三方或者短期任务分配一个临时的、有限权限的访问令牌,而不是直接分享您...
阿里云OSS临时授权STS直传视频文件到OSS服务器教程(含所需的核心js代码)
12-30
阿里云对象存储服务(Object Storage Service,简称OSS),是一种基于网络的数据存储服务,能够提供高可用、高安全、低成本的云端存储...此外,由于使用STS临时授权,权限管理更为灵活,可以根据业务需求动态调整。
上传文件到阿里云OSS-uniapp.zip
09-22
- 项目支持图片、音频、视频等多种资源类型的上传,这意味着你可以将用户的头像、音乐文件、短视频等存储在阿里云OSS上,以便于后续的访问和处理。 3. **安全性考虑**: - 为了保护敏感的AccessKey信息,通常不...
net Ali Oss STS.rar
12-06
OSS可以通过阿里云STS(Security Token Service)进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。 压缩包内包含使用net获得sts ...
阿里云OSS上传js版本demo
01-18
在实际应用中,这些敏感信息不应直接暴露在前端代码中,可以采用签名机制或者STS(Security Token Service)临时授权等方式。 在"aliyun"这个压缩包文件中,可能包含了实现以上功能的HTML、JavaScript代码和相关的...
阿里云临时授权访问STStoken获取
Dxx_23的博客
05-09 4713
参考文档 阿里云官方文档 相关SDK RAM 和 STS 介绍 阿里云权限管理机制包括访问控制(Resource Access Management,简称 RAM)和安全凭证管理(Security Token Service,简称 STS),可以根据需求使用不同权限的子账号来访问表格存储,也支持为用户提供访问临时授权使用RAM和STS能极大地提高管理的灵活性和安全性。 RAM 的主要作用是控制账号系统的权限。通过使用 RAM 可以将在主账号的权限范围内创建子账号,给不同的子账号分配不同的权限,从而达到
阿里云视频点播获取sts临时身份令牌
salestina的博客
08-23 1356
参考文档: https://help.aliyun.com/document_detail/57114.htm?spm=a2c4g.11186623.2.8.789552f3X7WYAv#multiTask7745 首先,登录控制台,开通视频点播服务。 一:创建子账号并授权AliyunSTSAssumeRoleAccess 使用阿里云主账号登录阿里云控制台,选择 访问控制 如图: 点击用户,创建用户 如图: 子用户创建成功之后,选择创建的子用户,给子用户赋予Aliyun.
STS临时授权访问OSS
angyunlin5641的博客
01-04 737
STS临时授权访问OSS STS临时授权访问OSS OSS 可以通过阿里云 STS (Security Token Service) 进行临时授权访问阿里云 STS 是为云计算用户提供临时访问令牌的Web服务。通过 STS,您可以为第三方应用或子用户...
阿里云oss 前端通过stsToken,普通上传、分片上传、断点续传(单文件和批量上传)
mrqi122的博客
08-25 6808
一、获取sts相关信息二、前端配置1、组件2、api三、演示。
PHP&Laravel通过阿里STS临时授权访问OSS
donjan的博客
04-15 1868
文章目录创建子账号创建策略创建角色安装SDK获取临时凭证 创建子账号 云账号登录RAM控制台:https://ram.console.aliyun.com 创建一个可以编程访问的子账号,记录下AccessKey ID和AccessKey Secret。 并添加AliyunSTSAssumeRoleAccess权限 创建策略 访问:https://ram.console.aliyun.com/policies 创建策略,这里有很多系统策略,都具有比较高的权限,咱们需要创建一个只具备上传到OSS访问的策略
PHP实现阿里云OSSSTS认证(ThinkPhp5.0框架)
weixin_42001930的博客
05-26 2588
1、先讲下初心,要实现需求客户端上传图片或者视频到阿里云OSS,使用STS认证方式(类似于客户端向服务端要认证签名),在做OSSSTS认证时发现关于php实现这块的技术播客写的普遍笼统,于是决定写一遍相对完整的 2、看博客之前还请大家先看下这个官方文档https://help.aliyun.com/document_detail/31920.html,看步骤一和步骤二就可以了,步骤一的操作要完成 3、如何使用(这是在thinkphp5.0框架下的使用方法),下图红框中的扩展包是你在官方文档步骤二里面.
阿里OSS STS临时授权访问 C语言实现
wzj_whut的专栏
01-28 535
使用curl和openssl实现阿里STS授权访问OSS 官方文档 https://help.aliyun.com/document_detail/100624.html?spm=a2c4g.11186623.6.622.50f27e0f66h6C2 阿里控制台 -&amp;gt; 访问控制 -&amp;gt; 用户管理 -&amp;gt; 新建用户 -&amp;gt; 创建AccessKey 将AccessKey ID, Ac...
PHP-OSS:从STS获取SecurityToken
weixin_41429587的博客
06-24 2461
找了一个下午整理了一下步骤。 首先开通阿里云OSS 然后创建bucket 接下来,创建子用户,如图: 记住保存AccessKeyID和AccessSecret. 再来创建策略 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets", "oss:Ge
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值