使用STS临时访问凭证访问OSS

已于 2022-09-26 14:27:06 修改
阅读量2k 收藏 3
点赞数
分类专栏: oss sts 文章标签: 服务器 数据库 java
于 2022-07-27 18:57:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaolaisheng123/article/details/126021192
版权

说明

在使用阿里云的oss 获取临时访问凭证的时候,报错信息bucket 不存在,后来找阿里云的售后,他说用他给我的代码,我一看这个代码没有使用到policy,那岂不是自定义权限策略没用,但是却不报错了,可以正常上传了,一下是具体流程,有老铁知道的,欢迎留言。

前提条件

已确保当前账号为阿里云账号或者被授予AliyunRAMFullAccess权限的RAM用户。

适用场景

使用STS授权用户直接访问OSS的流程如下:App用户登录。App用户和云账号无关,它是App的终端用户,App服务器支持App用户登录。对于每个有效的App用户来说,需要App服务器能定义出每个App用户的最小访问权限。

  1. App服务器请求STS服务获取一个安全令牌(SecurityToken)。在调用STS之前,App服务器需要确定App用户的最小访问权限(用RAM Policy来自定义授权策略)以及凭证的过期时间。然后通过扮演角色(AssumeRole)来获取一个代表角色身份的安全令牌(SecurityToken)。
  2. STS返回给App服务器一个临时访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId和AccessKeySecret)以及过期时间。
  3. App服务器将临时访问凭证返回给App客户端,App客户端可以缓存这个凭证。当凭证失效时,App客户端需要向App服务器申请新的临时访问凭证。例如,临时访问凭证有效期为1小时,那么App客户端可以每30分钟向App服务器请求更新临时访问凭证。
  4. App客户端使用本地缓存的临时访问凭证去请求OSS API。OSS收到访问请求后,会通过STS服务来验证访问凭证,正确响应用户请求。

具体配置流程这里就不多说了,不懂的可以去看阿里云的帮助文档,这里重点说一下,怎么获取访问凭证,

步骤1:获取临时访问凭证

以下Java代码用于获取临时访问凭证:

package cn.ityoudream.cn.stsjava;

import com.aliyuncs.DefaultAcsClient;
import com.aliyuncs.exceptions.ClientException;
import com.aliyuncs.http.MethodType;
import com.aliyuncs.profile.DefaultProfile;
import com.aliyuncs.profile.IClientProfile;
import com.aliyuncs.sts.model.v20150401.AssumeRoleRequest;
import com.aliyuncs.sts.model.v20150401.AssumeRoleResponse;

import java.util.HashMap;
import java.util.Map;

public class STS {
    public static void main(String[] args) throws ClientException {
        String AccessKeyId = "";
        String accessKeySecret = "";
        // 填写步骤3获取的角色ARN。
        String roleArn = "acs:ram::1551714601834638:role/sts";
        // 自定义角色会话名称,用来区分不同的令牌,例如可填写为SessionTest。
        String roleSessionName = "sts";

        Map<String,Object> maps = new HashMap<>();

        String policy = "{\n" +
                "    \"Version\": \"1\",\n" +
                "    \"Statement\": [\n" +
                "     {\n" +
                "           \"Effect\": \"Allow\",\n" +
                "           \"Action\": [\n" +
                "             \"oss:PutObject\"\n" +
                "           ],\n" +
                "           \"Resource\": [\n" +
                "             \"acs:oss:*:*:bucket\",\n" +
                "             \"acs:oss:*:*:ilian/*\"\n" +
                "           ]\n" +
                "     }\n" +
                "    ]\n" +
                "}";

        maps.put("policy", policy);

        try {
            initSTS(AccessKeyId, accessKeySecret, roleArn, roleSessionName, policy);
        } catch (ClientException e) {
            //可以捕获下异常,比如这个地方超时了,可以使用for 循环
            for(int retry = 0; retry <= 10; retry ++) {
                initSTS(AccessKeyId, accessKeySecret, roleArn, roleSessionName, policy);
            }
        }
    }

    private static void initSTS(String accessKeyId, String accessKeySecret, String roleArn, String roleSessionName, String policy) throws ClientException {
        String regionId = "cn-hangzhou";
        IClientProfile profile = DefaultProfile.getProfile(regionId, accessKeyId, accessKeySecret);
        DefaultAcsClient client = new DefaultAcsClient(profile);
        final AssumeRoleRequest request = new AssumeRoleRequest();
        request.setConnectTimeout(100000);
        request.setMethod(MethodType.POST);
        request.setRoleArn(roleArn);
        request.setRoleSessionName(roleSessionName);
//        request.setPolicy(policy); // 如果policy为空,则用户将获得该角色下所有权限。
        request.setDurationSeconds(3600L); // 设置临时访问凭证的有效时间为3600秒。
        final AssumeRoleResponse response = client.getAcsResponse(request);
        System.out.println("Expiration: " + response.getCredentials().getExpiration());
        System.out.println("Access Key Id: " + response.getCredentials().getAccessKeyId());
        System.out.println("Access Key Secret: " + response.getCredentials().getAccessKeySecret());
        System.out.println("Security Token: " + response.getCredentials().getSecurityToken());
        System.out.println(response.getCredentials().getExpiration());
        System.out.println("RequestId: " + response.getRequestId());
    }

}
 

这段代码我说明一下,刚开始我用的官网的代码,获取临时访问凭证,提示bucket不存在,然后阿里云的售后给的这段代码,我仔细看了一下,没有使用policy,那是不是不用配置这个也可以用了?这点有点疑惑,不过最后确定是可以获取临时凭证的。就没有想的太多,能用就行

步骤2:使用临时访问凭证上传文件至OSS

以Java SDK 3.12.0版本为例,将本地D:\\localpath路径下的exampletest.txt文件上传至存储空间examplebucket下的exampledir目录的示例代码如下:其中的accessKeyId和accessKeySecret是第五步获取的

import com.aliyun.oss.OSSClient;
import com.aliyun.oss.model.PutObjectRequest;

import java.io.File;

public class Upload {
    public static void main(String[] args) {
// Endpoint以杭州为例,其它Region请按实际情况填写。
String endpoint = "oss-cn-hangzhou.aliyuncs.com";
// 填写步骤五获取的临时访问密钥(AccessKey ID和AccessKey Secret)。
String accessKeyId = "<yourAccessKeyId>";
String accessKeySecret = "<yourAccessKeySecret>";
// 填写步骤五获取的安全令牌SecurityToken。
String securityToken = "<yourSecurityToken>";

// 创建OSSClient实例。
OSS ossClient = new OSSClientBuilder().build(endpoint, accessKeyId, accessKeySecret, securityToken);
// 将本地文件exampletest.txt上传至目标存储空间examplebucket下的目录exampledir。
PutObjectRequest putObjectRequest = new PutObjectRequest("examplebucket", "exampledir/exampletest.txt", new File("D:\\localpath\\exampletest.txt"));

// 如果需要上传时设置存储类型与访问权限,请参考以下示例代码。
// ObjectMetadata metadata = new ObjectMetadata();
// metadata.setHeader(OSSHeaders.OSS_STORAGE_CLASS, StorageClass.Standard.toString());
// metadata.setObjectAcl(CannedAccessControlList.Private);
// putObjectRequest.setMetadata(metadata);

// 上传文件。
ossClient.putObject(putObjectRequest);

// 关闭OSSClient。
ossClient.shutdown();
   }
}
爱吃菜的小虾米
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java后端实现STS临时授权访问OSS
weixin_50257159的博客
02-01 1733
项目需求:由于需要发生改变,不能直接用后台直接上传图片文件这些东西到阿里云OSS里面,安全性不高,所有改换了返回token信息前端直接上传 STS临时授权访问OSS需要配合RAM子账号一起使用 具体的流程是参考别人的:STS临时授权访问OSS 后端代码 1.添加依赖 <dependency> <groupId>com.aliyun</groupId> <artifactId>aliyun-java-sdk-core</artifactId
oss获取临时访问凭证-方法TST
m0_59598029的博客
02-25 1109
阿里云对象存储OSS(Object Storage Service)为您提供基于网络的数据存取服务。使用OSS,您可以通过网络随时存储和调用包括文本、图片、音视频在内的各类数据文件。在先前的一片推文里我有写到阿里的oss云上传技术,但是,如果是外部项目,则会设计到云库的安全密钥问题,所以在这里做一下云库密钥的补充。
阿里云oss通过sts securityToken获取自签名授权链接php版
etafort的博客
03-25 656
为什么官方文档没有类似说明?也许是大有大的难处吧!累死本小白了!!
阿里云STS临时令牌操作OSS云存储
qq_41561195的博客
12-23 2406
阿里云STS临时令牌操作OSS云存储 参考:官方文档1官方文档2 STS获取临时令牌操作OSS云存储 项目集成了swagger2自动接口文档,如未集成,需要将@Api、@ApiOperation等注解去掉 为什么要使用sts去操作? 直接使用账号的权限去操作OSS,账号拥有所有权限,使用RAM创建账号子用户,分离部分权限出来,提高OSS安全性能。 前期准备 阿里云控制台操作步骤 通过OSS SDK...
使用go语言获取阿里云oss临时授权,实现小程序直传文件到阿里云oss
sywdebug的博客
07-05 3350
的步骤一中下载“浏览器客户端代码”,下载后解压出来,有一堆文件,需要用到的有四个,分别是 base64.js,crypto.js,hmac.js,sha1.js。,之前是使用的客户端签名,也就是在小程序内签名后直接使用,但是因为使用小程序签名还需要引入一些文件,并且现在是自己写后端,所以试着学习写一下。这块本来不想写的,因为我们用的小程序,如果使用这个的话,需要小程序先上传到后端服务器,然后后端拿到文件再上传到 oss,没有直传来得方便。第四步骤的第二小步完成后将创建的权限策略授予了刚才创建的角色。
java实现使用STS临时访问凭证访问阿里云OSS.zip
04-01
通过STS服务给其他用户颁发一个临时访问凭证。该用户可使用临时访问凭证在规定时间内访问您的OSS资源。临时访问凭证无需透露您的长期密钥,使您的OSS资源访问更加安全。 源码可供参考学习使用
net Ali Oss STS.rar
12-06
OSS可以通过阿里云STSSecurity Token Service)进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。 压缩包内包含使用net获得sts ...
关于阿里云oss获取sts凭证 app直传 python的实例
09-18
今天小编就为大家分享一篇关于阿里云oss获取sts凭证 app直传 python的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
阿里云OSS PHP STS SDK上传demo
09-12
阿里云OSS PHP STS SDK上传demo,在您使用STS SDK前,请仔细阅读RAM使用指南中的角色管理部分,并阅读STS API文档
阿里云OSS临时授权STS直传视频文件到OSS服务器教程(含所需的核心js代码)
12-30
阿里云对于临时授权这块和OSS上传这块,已经如何配合php和前端js这块,没有个系统的帮助文档,让人一开始找起来很崩溃,特将需要用到的js和文档打包放在一起,减少以后开发者的开发负担!
获取阿里云osstoken
Sunny_yaa的博客
08-28 5434
获取阿里云ossToken
阿里云OSS 临时授权用户访问参考
weixin_41997172的博客
12-28 6335
用户,用户组,角色,临时授权-权限策略
前端阿里云oss直传图片遇到的问题与解决方案 vant + vue3 + oss
u013505589的博客
09-20 2359
前端阿里云oss直传图片遇到的问题与解决方案 vant + vue3 + oss
Aliyun oss实现(一),向STS申请临时SecretToken
热门推荐
FewMore的博客
04-02 1万+
最近做了一个项目关于aliyun云同步的功能。 结构如下 api层放向外暴露的接口和model类。 sdk层打包客户端的实现类和工厂,向客户暴露。 security层部署至服务器,不向外暴露。 jar包用到以下4个。 sts和ram是给第三方客户(相对于aliyun而言),临时访问bucket的扮演角色(通过sts和ram包中提供的api,可以直接向相应
移动端文件直传到阿里云oss流程包括代码
xuyuanliang的博客
12-05 1万+
移动端文件直传到阿里云oss这个流程包括代码这里使用sts的鉴权授权机制进行上传(当然也可以使用明文的上传机制、自签名模式、最安全的就是sts的授权上传机制,可以最大限度的保护阿里云的账户安全) 开发的整个流程如下,此处是以java,android为例子(其他的语言版本可以根据流程直接从阿里云官方文档上获取相应的版本示例代码。)一、首先获取移动端上传的ststooken说明:ststooken是应
阿里云OSS服务开通STS安全令牌
weixin_33859231的博客
05-31 962
 搭建直传服务需要完成以下准备工作: 开通OSS,并且创建Bucket。 开通STS服务。 登录 OSS管理控制台。 在OSS概览页中找到基础配置区域,单击 安全令牌,如下图所示: 进入到 安全令牌快捷配置 页面。 注意:如果没有开通RAM,会弹出开通的对话框。直接单击 开通,并进行实名验证。做完后跳到本页面。单击 开始授权。 系统进行自动授权,请务必保存下图中三个...
阿里云临时授权访问STStoken获取
Dxx_23的博客
05-09 4632
参考文档 阿里云官方文档 相关SDK RAM 和 STS 介绍 阿里云权限管理机制包括访问控制(Resource Access Management,简称 RAM)和安全凭证管理(Security Token Service,简称 STS),可以根据需求使用不同权限的子账号来访问表格存储,也支持为用户提供访问临时授权。使用RAM和STS能极大地提高管理的灵活性和安全性。 RAM 的主要作用是控制账号系统的权限。通过使用 RAM 可以将在主账号的权限范围内创建子账号,给不同的子账号分配不同的权限,从而达到
通过临时访问凭证操作OSS资源时报错You have no right to access this object because of bucket acl.如何处理?
最新发布
05-22
这个错误提示表明您没有权限访问该对象,可能是因为存储桶的ACL设置限制了您的访问权限。您可以按照以下步骤进行排查和处理: 1. 确认您的AccessKeyId和AccessKeySecret是否正确,是否有足够的权限来访问该存储桶和对象。 2. 确认存储桶的ACL设置是否正确。您可以通过控制台或者SDK API查看和修改存储桶的ACL设置,确保您具有访问该对象的权限。 3. 确认存储桶的跨域资源共享(CORS)设置是否正确。如果存储桶开启了CORS设置,那么访问该存储桶的请求需要满足一定的条件。您可以通过控制台或者SDK API查看和修改存储桶的CORS设置。 4. 如果您使用STS临时访问凭证访问OSS资源,那么您需要确保您在生成STS Token时对该对象授权。您可以通过控制台或者SDK API生成STS Token,并指定访问该对象的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱吃菜的小虾米

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值