【避坑】minio临时凭证STS实现上传,下载

已于 2022-07-30 19:04:21 修改
阅读量7.9k 收藏 18
点赞数 3
分类专栏: minio 文章标签: minio oss sts 临时凭证
于 2022-07-30 19:01:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yilvqingtai/article/details/126059858
版权

一、背景

以minio作为图床,采用用户到minio服务器的点对点使用方式,将上传用户的长期凭证放在客户端(app或者web端)带来极大的风险。通常通过临时凭证STS签名的方式实现。简单的逻辑关系图如下:

二、minio服务docker安装

比较简单,我把docker-compose.yaml配置文件贴出来

jeecg-boot-minio:
    image: minio/minio:latest
    networks:
      - jeecglocalhost
    container_name: jeecg-boot-minio
    ports:
      - "9001:9001"
      - "9000:9000"
    restart: always
    command: server /data --console-address ":9001"
    environment:
      MINIO_ROOT_USER: lizzminio
      MINIO_ROOT_PASSWORD: lizzminio #大于等于8位
      TZ: Asia/Shanghai
    logging:
      options:
        max-size: "50M" # 最大文件上传限制
        max-file: "10"
      driver: json-file
    volumes:
      #宿主机是window:D:/dockerFile/dockerdata/minio/data
      #宿主机是Linux:/dockerFile/dockerdata/minio/data
      - /dockerFile/dockerdata/minio/data:/data # 映射文件路径

配置中一定要加上时区设置,保证宿主机和docker时区一致。

中文操作文档:Java Client API参考文档 - MinIO 帮助文档 - 开发文档 - 文江博客

官网操作文档:MinIO | The MinIO Quickstart Guide

三、实践操作

通过搜索资料和官方文档,大概确定了两种配置实现方式。(1)mc客户端+aws配置工具,实际上命令行的方式(2)minio控制台面板配置,实际上通过界面的形式。 网络上大量充斥第一种方式,对于初学者,会觉得麻烦,无法直观理解。我把自己通过第二种方式效果罗列出来,供大家参考。

(1)mc客户端+aws配置工具

这种网上资料比较多,大概就是先安装mc客户端(mc啥意思,可以去官网看看),aws就是用来获取minio sts配置结果的工具。

第一步:在运维机器或者minio的宿主机器上安装MC客户端和AWS应用

(1)安装aws

//下载安装包
 
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64-2.0.30.zip" -o "awscliv2.zip"
 
//解压文件
 
unzip awscliv2.zip
 
//安装,root用户sudo可以去掉
 
sudo ./aws/install

(2)安装mc客户端

//在当前目录下载mc
 
wget https://dl.min.io/client/mc/release/linux-amd64/mc
 
//设置为可执行
 
chmod +x mc
 
//在本目录执行mc命令,查看mc提供的操作命令
 
./mc --help

第二步:mc连接或者说绑定minio服务

minio的ip和端口号,minio的用户名和密码,local表示配置本地服务


./mc config host add local http://127.0.0.1:9000 username password

 配置完成之后可以在~/.mc/config.json中查看,local配置好了本地的minio服务

cat  ~/.mc/config.json

第三步:利用mc创建用户

为local的minio服务创建一个用户:zhaohao,密码:zhaohao123

./mc admin user add local zhaohao   zhaohao123

第四步:利用mc创建策略

首先创建一个json文件

{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

Version是版本号,Action里是允许使用s3接口的删除、获取上传对象功能

Resource是访问控制,*表示可以访问minio服务的所有bucket,若想限制访问

名为test的bucket可替换成"arn:aws:s3:::test/*" ,表示只可访问名为test的bucket

Action中s3接口数组权限策略。

其次,将json文件绑定到minio服务上

//表示为local的minio服务绑定一个叫testpolicy的访问策略,后面是策略文件的地址

./mc admin policy add local testpolicy /home/mxShop/minio/config/company.json

查看绑定的策略:./mc admin policy info local minio 

若出现:-bash: ./mc: No such file or directory,需要切换到mc所在目录

第五步:利用mc绑定用户和策略

//将前面的testpolicy策略绑定给zhaohao   用户
 
./mc admin policy set local testpolicy user=zhaohao  

第六步:利用aws进行配置验证

为minio服务绑定完策略后,需要使用aws配置该策略

aws configure --profile testpolicy

执行完上面命令后需要进行配置:

minio用户的信息
AWS Access Key ID [None]: minio
AWS Secret Access Key [None]: miniopwd
aws服务的站点
Default region name [None]: cn-north-1
第四行是文件类型
Default output format [None]: json

 配置完的信息可在~/.aws目录下进行查看和修改

 第七步:测试

输入以下命令

--profile:指定策略

--prolicy:进行二次策略限制,格式与之前的策略相同

aws --profile minio  \
--endpoint-url 'http://localhost:9000' \
sts assume-role \
--policy '{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": ["s3:GetObject"],"Resource": ["arn:aws:s3:::*"]}]}' --role-arn 'arn:aws:s3:::*' \
--role-session-name anything

 结果:这些就是我们需要的签名信息了

{
    "Credentials": {
        "AccessKeyId": "JJOUBSPDSK20Y2500847",
        "SecretAccessKey": "QpXMeXQHE+qYGddh5On+DlWYXpenK+j5yOHBn4Hm",
        "SessionToken": "eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJhY2Nlc3NLZXkiOiJKSk9VQlNQRFNLMjBZMjUwMDg0NyIsImV4cCI6MTY0MTg5NTQxNiwicGFyZW50IjoibWluaW8iLCJzZXNzaW9uUG9saWN5IjoiZXlKV1pYSnphVzl1SWpvZ0lqSXdNVEl0TVRBdE1UY2lMQ0pUZEdGMFpXMWxiblFpT2lCYmV5SkZabVpsWTNRaU9pQWlRV3hzYjNjaUxDSkJZM1JwYjI0aU9pQmJJbk16T2tkbGRFOWlhbVZqZENKZExDSlNaWE52ZFhKalpTSTZJRnNpWVhKdU9tRjNjenB6TXpvNk9pb2lYWDFkZlE9PSJ9.Gt2I3TG0jpvApAQrrS1QEZV0N3cIbtXnbNQ07-qe2cLb-uty-IaiVYhCyUHG80vwqJCxjnHiqYitziMWZna6sg",
        "Expiration": "2022-01-11T10:03:36+00:00"
    },
    "AssumedRoleUser": {
        "Arn": ""
    }
}

(2)minio控制台面板配置

第一步:登录控制面板,创建策略

 

第二步:创建用户,绑定策略

记录自己创建的用户Access Key  Secret Key

 

以上两步就OK了,简单快速

(3)java客户端测试

引入minio sdk

<dependency>
            <groupId>io.minio</groupId>
            <artifactId>minio</artifactId>
            <version>8.3.3</version>
 </dependency>
package com.rcgx.util.minio;


import com.rcgx.pay.common.util.DateUtil;
import io.minio.MinioClient;
import io.minio.PutObjectArgs;
import io.minio.credentials.AssumeRoleProvider;
import io.minio.credentials.Credentials;
import io.minio.credentials.StaticProvider;
import io.minio.errors.*;

import java.io.BufferedInputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Date;

public class Test03 {
    //服务所在ip地址和端口
    public static final String ENDPOINT = "http://192.168.3.38:9000/";
  
    //mc的用户名
    public static final String ACCESS_KEY_COMPANY = "zhaohao";
    //mc的密码
    public static final String SECRET_KEY_COMPANY = "zhaohao123";
    //aws服务端点
    public static final String REGION = "cn-north-1";
    //上传的bucket名
    public static final String BUCKET = "test";
    //授权策略,允许访问名为bucket的桶的目录
    public static final String ROLE_ARN = "arn:aws:s3:::test/*";
    public static final String ROLE_SESSION_NAME = "anysession";
    //定义策略,可进行二次限定
    public static final String POLICY_GET_AND_PUT = "{\n" +
            " \"Version\": \"2012-10-17\",\n" +
            " \"Statement\": [\n" +
            "  {\n" +
            "   \"Effect\": \"Allow\",\n" +
            "   \"Action\": [\n" +
            "    \"s3:GetObject\",\n" +
            "    \"s3:GetBucketLocation\",\n" +
            "    \"s3:PutObject\"\n" +
            "   ],\n" +
            "   \"Resource\": [\n" +
            "    \"arn:aws:s3:::test/*\"\n" +
            "   ]\n" +
            "  }\n" +
            " ]\n" +
            "}";
    public static void main(String[] args) {
        try {
            int durationSeconds = 360000;//秒
            //创建签名对象
            AssumeRoleProvider provider = new AssumeRoleProvider(
                    ENDPOINT,
                    ACCESS_KEY_COMPANY,
                    SECRET_KEY_COMPANY,
                    durationSeconds,//默认3600秒失效,设置小于这个就是3600,大于3600就实际值
                    POLICY_GET_AND_PUT,
                    REGION,
                    ROLE_ARN,
                    ROLE_SESSION_NAME,
                    null,
                    null);
            Date expirationDate = DateUtil.getDateByAddMinute(new Date(),durationSeconds/60);
            /**
             * 打印provider签名属性
             */
            System.out.println("sessionToken="+provider.fetch().sessionToken());
            System.out.println("accessKey="+provider.fetch().accessKey());
            System.out.println("secretKey="+provider.fetch().secretKey());
            System.out.println("isExpired="+provider.fetch().isExpired());
            System.out.println("expirationDate="+com.rcgx.util.DateUtil.getDateTimeFormat(expirationDate));

            Credentials credentials = provider.fetch();
            String sessionToken=provider.fetch().sessionToken();
            String accessKey=provider.fetch().accessKey();
            String secretKey=provider.fetch().secretKey();




            StaticProvider staticProvider = new StaticProvider(credentials.accessKey(), credentials.secretKey(), credentials.sessionToken());
            MinioClient minioClient = MinioClient.builder().endpoint(ENDPOINT).credentialsProvider(staticProvider).build();
            File file = new File("C:\\Users\\zhaohao\\Pictures\\Camera Roll\\人民政府市长办公会议纪要【2018】126号-六、公交场站免于处罚-2018年第4次轨道交通建设50专题例会会议纪要(1)_1645434959808.pdf.png");
            //这个objectName的值是经过上面的policy授权的
            String objectName = "mx/pic1.jpg";
            try {
                FileInputStream fileInputStream = new FileInputStream(file);
                minioClient.putObject(PutObjectArgs.builder().bucket(BUCKET)
                        .object(objectName)
                        .contentType("image/jpg")
                        .stream(fileInputStream, fileInputStream.available(), -1).build());

                File file2 = new File("C:\\Users\\zhaohao\\Pictures\\Camera Roll\\微信截图_20210308150013 - 副本.png");
                //这个objectName的值是经过上面的policy授权的
                String objectName2 = "mx/pic2.jpg";
                FileInputStream fileInputStream2 = new FileInputStream(file2);
                minioClient.putObject(PutObjectArgs.builder().bucket(BUCKET)
                        .object(objectName2)
                        .contentType("image/jpg")
                        .stream(fileInputStream2, fileInputStream2.available(), -1).build());
            } catch (Exception e) {
                e.printStackTrace();
            }


            /*//使用签名获取mc对象
            MinioClient minioClient = MinioClient.builder()
                    .endpoint(ENDPOINT)
                    .credentialsProvider(provider)
                    .build();
            String filename = "github-docker-compose.yml";
            try {
                //对象流,获取文件
                BufferedInputStream bis = new BufferedInputStream(new FileInputStream("D:\\dockerFile\\" + filename));
                //使用mc对象上传文件
                minioClient.putObject(PutObjectArgs.builder()
                        //桶名和aws服务端点
                        .bucket(BUCKET).region(REGION)
                        //前缀和对象名
                        .object("mx/" + filename)
                        .stream(bis, bis.available(), -1)
                        .build());
                System.out.println("文件上传成功!!");
            } catch (ErrorResponseException e) {
                e.printStackTrace();
            } catch (InsufficientDataException e) {
                e.printStackTrace();
            } catch (InternalException e) {
                e.printStackTrace();
            } catch (InvalidKeyException e) {
                e.printStackTrace();
            } catch (InvalidResponseException e) {
                e.printStackTrace();
            } catch (IOException e) {
                e.printStackTrace();
            } catch (ServerException e) {
                e.printStackTrace();
            } catch (XmlParserException e) {
                e.printStackTrace();
            }*/
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }

    }
}

运行结果


sessionToken=eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJhY2Nlc3NLZXkiOiIyRktYWVYxSExKWTJBNldWMjlUMyIsImV4cCI6MTY1OTUzMzgxNywicGFyZW50Ijoiemhhb2hhbyIsInNlc3Npb25Qb2xpY3kiOiJld29nSWxabGNuTnBiMjRpT2lBaU1qQXhNaTB4TUMweE55SXNDaUFpVTNSaGRHVnRaVzUwSWpvZ1d3b2dJSHNLSUNBZ0lrVm1abVZqZENJNklDSkJiR3h2ZHlJc0NpQWdJQ0pCWTNScGIyNGlPaUJiQ2lBZ0lDQWljek02UjJWMFQySnFaV04wSWl3S0lDQWdJQ0p6TXpwSFpYUkNkV05yWlhSTWIyTmhkR2x2YmlJc0NpQWdJQ0FpY3pNNlVIVjBUMkpxWldOMElnb2dJQ0JkTEFvZ0lDQWlVbVZ6YjNWeVkyVWlPaUJiQ2lBZ0lDQWlZWEp1T21GM2N6cHpNem82T25SbGMzUXZLaUlLSUNBZ1hRb2dJSDBLSUYwS2ZRPT0ifQ.BbwnrFLmUiYdxJN4SpXqtMYQgiKioPx_IT08AUSOAma5CrK5pfqS6WZWOo5LXMbx1nmmv0oz_BegDuuc2PsWoQ
accessKey=2FKXYV1HLJY2A6WV29T3
secretKey=XdXIrKOkA6EBdj9I4SRfe1BNiqPHrhC75xgiPwod
isExpired=false
expirationDate=2022-08-03 21:36:57

Process finished with exit code 0

实际运用可以将accessKey ,secretKey,expirationDate以及其他minio配置通过接口发送给前端 即可实现

四、异常报错解决避坑

(1)如果出现以下错误,通常是策略配上的action中,缺少权限。

(2)但是我看网上很多讲docker容器时区和宿主机时区不一样导致的错误,但是当我把时区调整后,或者直接手动修改docker内时间,保持时间一直后,仍然报这个异常。这个就很容易让人误解,网上的资料不能尽信啊。

比如: minio AccessDenied_隐0士的博客-CSDN博客_accessdenied minio

ErrorResponse(code = AccessDenied, message = Access denied, bucketName = bucket, objectName = null_爱驹一族的博客-CSDN博客

青苔猿猿
关注
  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
专栏目录
MinIo临时授权
sosozha的博客
11-04 2087
Java - MinIo临时授权使用方案示例
minio生成临时凭据(sts)可控制临时凭据持续时长
qq_60754334的博客
06-06 1151
项目实施环境:已使用wsl(适用于windows的linux子系统)启动minio服务;使用windows登录minio控制台,进行桶、用户、策略的设置。
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取)
04-05
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取)
MINIO服务器的临时认证Token(STS)
lwq657359703的博客
09-28 8635
MINIO是类似阿里的OSS云存储服务器。它支持AWS S3服务器的一些接口。 1.搭建MINIO服务器 mkdir /usr/local/minio mkdir /usr/local/minio/etc mkdir /usr/local/minio/data cd /usr/local/minio # 等待下载完成 curl -O https://dl.minio.io/server/minio/release/linux-amd64/minio chmod 750 minio # 改成自己的
MinIO 实战:使用 Docker Compose 部署 MinIO 集群
最新发布
SmartSi
05-12 1393
MinIO 是一个高性能、兼容 AWS S3 的开源对象存储解决方案。它适用于存储大量非结构化数据,比如照片、视频、日志文件等。MinIO 可以在单机模式下运行,也可以配置为高可用的分布式模式。在本教程中,我们将使用 Docker Compose 在本地环境中部署一个三节点的 MinIO 集群。
linux和java项目中minio中利用STS获取签名
qq164425443的博客
10-10 924
这里不再演示如何下载aws和mc工具,网上有很多,可以自己找。这里我只说下一些命令的基本用法。这里的docker_minio就是上面创建的docker_minio。找原因是第二次做限定的时候参数没写对。这里一定要写对参数就行了。为了让mc命令全局使用,假如你的mc文件在/home下。上面链接有,我第一次报错403。
minio使用临时授权(STS)无法上传对象至bucket
weixin_43847888的博客
04-26 1977
项目场景: 提示:这里简述项目相关背景: 最近新整合minio进行文件的存储,然后需要开放二次策略进行一个临时授权。Java版本11,minio版本8.0.3 问题描述 根据网上的一些教程,成功的整合了minio(具体教程:https://stevenocean.github.io/2021/01/12/minio-sts-assumerole-sample.html),只是进行二次策略进行STS的时候,发现了无法上传对象到bucket,一直报错,提示的是AccessDenied 对应的策略如下 {
Minio对象存储STS部署
古今来色色形形无非是戏,天地间奇奇怪怪何必认真.
02-07 1968
minio对象存储部署STS访问
minio临时凭证及分享链接的生成和使用(代码篇)
热门推荐
shenyunsese的专栏
07-12 1万+
上一篇文章介绍了minio之对象存储的访问链路minio之对象存储常用访问链路介绍_神云瑟瑟的博客-CSDN博客本篇主要主要介绍标准链路中的临时凭证的生成和使用,以及分享链接的生成主要的pom文件 二、临时凭证的生成,并使用 使用永久凭证构造AssumeRoleProvider对象,然后得到临时accesskey和secretkey。然后再构造StaticProvider对象最后生成minioclient。注意点:临时凭证的默认过期时间是1个小时,可以自定义设置,但是如果设置的值小于1小时,会被
MinioSTS方式获得临时凭据上传文件
张云飞Vir的专栏
04-12 2442
一、写在前面 一个常见的场景是:需要让客户端来上传图片,面临的安全性问题。给与客户端永久凭据无疑是很大风险的,我们还可以选择“给予一个临时凭据,这个凭据关联到一个 授权的用户,我们可以随时停用和修改这个用户具有的权限” Minio提供了STS 的方式来实现这个方法。 MinIO安全令牌服务(STS)API允许应用程序生成用于访问MinIO部署的临时凭据。参考https://min.io/docs...
minio实现STS签名服务
程序猿一只
01-11 3844
1、背景 在上一篇中:Docker部署Minio并与Springboot的集成_木星mx的博客-CSDN博客 我们介绍了如何部署minio和与springboot的集成方法,但是在上传文件时,采用的是从浏览器获取参数读取本地文件上传,当项目部署到线上时,用户和项目服务处于不同机器上,这种方式就不适用了,因此需要进行升级。 升级后的效果是:项目服务只提供签名服务,用户通过访问项目提供的接口获取签名,然后用户使用签名上传文件,实现了用户到oss端对端的文件传...
基于Java写minio客户端实现上传下载文件
08-19
在本文中,我们将深入探讨如何使用Java来实现MinIO客户端,以便进行文件的上传下载操作。MinIO是一个高度可扩展的对象存储服务器,适合用于存储和检索大量的非结构化数据,如图片、文档、视频等。它提供了一个简单...
COS临时密匙或MINIO实现文件上传
10-12
COS临时密匙或MINIO实现文件上传
minio分段下载 实现下载 预览
08-08
minio分段下载 实现下载 预览
SpringBoot(31) 整合MinIO实现文件上传下载
08-17
在本教程中,我们将深入探讨如何使用SpringBoot框架与MinIO进行集成,以实现文件的上传下载功能。SpringBoot以其简洁的配置和强大的功能深受Java开发者喜爱,而MinIO则是一个高性能的对象存储服务器,适合处理大...
minio实现本地和云端文件同步
02-26
首先,我们需要理解MinIO的核心接口,包括上传下载和删除文件。在Java中,MinIO提供了`MinioClient`类,这是与MinIO服务器进行交互的主要工具。`MinioClient`提供了如`putObject()`, `getObject()`, 和 `...
Minio基础
Xrj_int的博客
09-06 659
对象存储是一种基于对象的存储设备,综合了NAS和SAN的优点,同时具有SAN的高速直接访问和NAS的分布式数据共享等优势。适合存储海量图片、视频、日志文件、备份数据、容器镜像等。2006年美国亚马逊发布了AWS S3(Simple Storage Service)服务,正式将对象存储作为一种云存储服务,引入云计算领域,正式开启了对象存储的黄金年代,S3现在作为一种主流的对象存储协议标准,很多服务实现厂家对其都有很好的兼容。
Spring Boot整合Minio实现上传凭证、分片上传、秒传和断点续传
weixin_54542328的博客
10-19 2922
Spring Boot整合Minio后,前端的文件上传有两种方式:文件上传到后端,由后端保存到Minio这种方式好处是完全由后端集中管理,可以很好的做到、身份验证、权限控制、文件与处理等,并且可以做一些额外的业务逻辑,比如生成缩略图、提取元数据等。缺点也很明显:延迟时间高了,本来花费上传一次文件的时间,现在多了后端保存到Minio的时间后端资源占用,后端本来可以只处理业务请求,现在还要负责文件流,增加了性能压力单点故障,Minio即便做了集群,但是如果后端服务器故障,也会导致Minio不可用。
MinIO未授权SSRF漏洞复现(CVE-2021-21287)
isxiaole的博客
09-27 8340
MinIO 是一款基于Go语言发开的高性能、分布式的对象存储系统。由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。
minio临时凭证STS实现上传下载
09-23
minio临时凭证STS可以通过以下步骤来实现上传下载: 1. 首先,您需要启用MinIOSTS服务,并确保MinIO运行在gateway模式下,并与etcd配合使用。 2. 然后,您可以使用MinIO提供的STS服务来获取临时凭证。通过使用临时凭证,您可以创建临时的用户身份以及对应的KEY和SECRET。 3. 获取到临时凭证后,您可以使用这些凭证进行文件的上传下载操作,就像使用默认凭证一样。 请注意,临时凭证与安装MinIO时的默认凭证类似,但有一些细微的差别。临时凭证有一定的有效期,一旦过期,MinIO将会直接拒绝来自它的任何请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

青苔猿猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值