OSS SDK for Androidを使用してアクセスを許可する - Object Storage Service

Object Storage Service (OSS) SDK for Androidは、Security Token Service (STS) 認証モード、自己署名モード、およびURL署名を提供し、モバイルデバイスのデータセキュリティを確保します。

背景情報

STS認証モードまたは自己署名モードを使用する場合は、実装するコールバック関数がセキュリティトークンと署名を返すことができることを確認してください。コールバック関数でリクエストを送信してアプリサーバーからトークンと署名を取得する必要がある場合は、ネットワークライブラリに含まれる同期API操作を呼び出すことを推奨します。コールバック関数は、SDKによって生成されたリクエストの子スレッドで実行され、メインスレッドをブロックしません。

STS認証モード

説明

STS認証モードを使用するには、まずAlibaba Cloud Resource Access Management (RAM) を有効化する必要があります。

STSを使用して、OSSへの一時アクセスを許可できます。 STSは、ユーザーに一時的なアクセストークンを提供するwebサービスです。 STSを使用して、管理されているサードパーティのアプリケーションまたはRAMユーザーに、カスタムの有効期間とカスタムのアクセス許可を持つ一時的なアクセス資格情報を付与できます。 STSの詳細については、「STSとは何ですか?」をご参照ください。

STSには次の利点があります。

一時的なアクセストークンを生成し、そのアクセストークンをサードパーティのアプリケーションに送信するだけで済みます。サードパーティのアプリケーションにAccessKeyペアを提供する必要はありません。このトークンのアクセス権限と有効期間を指定できます。
有効期間が終了すると、トークンは自動的に期限切れになります。したがって、トークンのアクセス権限を手動で取り消す必要はありません。

STSが提供する一時的なアクセス資格情報を使用してOSSにアクセスするには、次の操作を実行します。

一時的なアクセス資格情報を取得します。
一時的なアクセス資格情報は、AccessKeyペアとセキュリティトークンで構成されます。 AccessKeyペアは、AccessKey IDとAccessKeyシークレットで構成されます。一時的なアクセス資格情報の有効期間は秒単位です。一時的なアクセス資格情報の最小有効期間は900秒です。一時的なアクセス資格情報の最大有効期間は、現在のロールに指定されている最大セッション期間です。詳細については、「RAMロールの最大セッション期間の指定」をご参照ください。
次のいずれかの方法を使用して、一時的なアクセス資格情報を取得できます。
- 方法 1
  AssumeRole操作を呼び出して、一時的なアクセス資格情報を取得します。
- 方法 2
  STS SDKを使用して一時的なアクセス資格情報を取得します。詳細については、「STS SDKの概要」をご参照ください。

一時的なアクセス資格情報を使用して、OSS SDK for Androidを初期化します。

String endpoint = "https://oss-cn-hangzhou.aliyuncs.com";

OSSCredentialProvider credentialProvider = new OSSStsTokenCredentialProvider("StsToken.AccessKeyId", "StsToken.SecretKeyId", "StsToken.SecurityToken");

OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);

一時的なアクセス資格情報を使用してSDKを初期化する場合は、STSトークンの有効期間に注意してください。

次のサンプルコードは、トークンの残りの有効期間が5分未満の場合にSTSトークンを更新する方法の例を示しています。

SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss");
sdf.setTimeZone(TimeZone.getTimeZone("UTC"));
Date date = sdf.parse("<StsToken.Expiration>");
long expiration = date.getTime() / 1000;
// Update the STS token when its remaining validity period is less than 5 minutes. 
if (DateUtil.getFixedSkewedTimeMillis() / 1000 > expiration - 5 * 60) {
    oss.updateCredentialProvider(new OSSStsTokenCredentialProvider("StsToken.AccessKeyId", "StsToken.SecretKeyId", "StsToken.SecurityToken"));
}

STSトークンを手動で更新する
STSトークンの有効期限が近づいたら、次の行を実行して、別のOSSClientインスタンスを作成するか、CredentialProviderを更新できます。
```
oss.updateCredentialProvider(new OSSStsTokenCredentialProvider("StsToken.AccessKeyId", "StsToken.SecretKeyId", "StsToken.SecurityToken"));                   
```

STSトークンを自動的に更新する

SDKがSTSトークンを自動的に更新する場合は、アプリにコールバックを実装する必要があります。コールバックは、フェデレーショントークン (STSトークン) を取得し、トークンをSDKに返します。 SDKはSTSトークンを使用して署名を生成します。 STSトークンを更新する必要がある場合、SDKはコールバックを呼び出して新しいトークンを取得します。

String endpoint = "http://oss-cn-hangzhou.aliyuncs.com";

OSSCredentialProvider credentialProvider = new OSSFederationCredentialProvider() {

    @Override
    public OSSFederationToken getFederationToken() {
    // Obtain a federation token, construct the token, and then return the token as an OSSFederationToken object. If no federation token is obtained, null is returned. 

        OSSFederationToken token;
        // Obtain a federation token from your server. 
        return token;
    }
};

OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);

説明

他の方法でSTSトークンを生成するために必要なすべてのフィールドを取得した場合は、コールバックでトークンを直接返すことができます。この場合、トークンを手動で更新してから、OSSClientインスタンスのOSSCredentialProviderを再設定する必要があります。

トークンを要求するサーバーのURLがhttp:// localhost:8080/distribute-token.jsonの場合、次のサンプル応答が返されます。

{
    "StatusCode": 200,
    "AccessKeyId":"STS.iA645eTOXEqP3cg3****",
    "AccessKeySecret":"rV3VQrpFQ4BsyHSAvi5NVLpPIVffDJv4LojU****",
    "Expiration":"2015-11-03T09:52:59Z",
    "SecurityToken":"CAES7QIIARKAAZPlqaN9ILiQZPS+JDkS/GSZN45RLx4YS/p3OgaUC+oJl3XSlbJ7StKpQ****"}

次のサンプルコードは、OSSFederationCredentialProviderの実装方法の例を示しています。

OSSCredentialProvider credetialProvider = new OSSFederationCredentialProvider() {
    @Override
    public OSSFederationToken getFederationToken() {
        try {
            URL stsUrl = new URL("http://localhost:8080/distribute-token.json");
            HttpURLConnection conn = (HttpURLConnection) stsUrl.openConnection();
            InputStream input = conn.getInputStream();
            String jsonText = IOUtils.readStreamAsString(input, OSSConstants.DEFAULT_CHARSET_NAME);
            JSONObject jsonObjs = new JSONObject(jsonText);
            String ak = jsonObjs.getString("AccessKeyId");
            String sk = jsonObjs.getString("AccessKeySecret");
            String token = jsonObjs.getString("SecurityToken");
            String expiration = jsonObjs.getString("Expiration");
            return new OSSFederationToken(ak, sk, token, expiration);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
};

URL 署名

使用上の注意

OSS SDKを使用して署名付きURLを生成する場合、OSS SDKはローカルコンピューターに保存されているキー情報に基づいて特定のアルゴリズムを使用して署名を計算し、URLに署名を追加してURLの有効性とセキュリティを確保します。 URLを計算し構築するために実行される操作は、クライアント上で完了する。ネットワーク経由でサーバーにリクエストを送信する必要はありません。この方法では、署名付きURLを生成するときに、呼び出し元に特定の権限を付与する必要はありません。ただし、サードパーティのユーザーが署名付きURLによって承認されたリソースに対して関連する操作を実行できるようにするには、API操作を呼び出して署名付きURLを生成するプリンシパルに対応する権限があることを確認する必要があります。
たとえば、プリンシパルが署名付きURLを使用してオブジェクトをアップロードする場合は、プリンシパルにoss:PutObject権限を付与する必要があります。プリンシパルが署名付きURLを使用してオブジェクトをダウンロードまたはプレビューする場合は、プリンシパルにoss:GetObject権限を付与する必要があります。
次のサンプルコードを使用して生成された署名付きURLには、プラス記号 (+) が含まれる場合があります。この場合、URLのプラス記号 (+) を % 2Bに置き換えます。そうでない場合、署名付きURLを使用してオブジェクトにアクセスすることはできません。

次のサンプルコードでは、一時的なアクセス許可のために署名付きURLを生成する方法の例を示します。

署名付きURLを生成し、署名付きURLを使用してファイルをアップロード

署名付きURLを生成します。

// Specify the name of the bucket. Example: examplebucket. 
String bucketName = "examplebucket";
// Specify the full path of the source object. Do not include the bucket name in the full path. Example: exampleobject.txt. 
String objectKey = "exampleobject.txt";
// Specify the contentType header. 
String contentType = "application/octet-stream";
String url = null;
try {
    // Generate a signed URL to upload the object. 
    GeneratePresignedUrlRequest request = new GeneratePresignedUrlRequest(bucketName, objectKey);
    // Set the validity period of the signed URL to 30 minutes. 
    request.setExpiration(30*60);
    request.setContentType(contentType);    
    request.setMethod(HttpMethod.PUT);
    url = oss.presignConstrainedObjectURL(request);
    Log.d("url", url);
} catch (ClientException e) {
    e.printStackTrace();
}

署名付きURLを使用してオブジェクトをアップロードします。

// Enter the generated signed URL. 
String url = "";
// Specify the full path of the local file. 
String localFile = "/storage/emulated/0/oss/examplefile";
// Specify the contentType header. 
String contentType = "application/octet-stream";
// Upload the object by using the signed URL. 
OkHttpClient client = new OkHttpClient();
Request putRequest = new Request.Builder()
        .url(url)
        .put(RequestBody.create(MediaType.parse(contentType), new File(localFile)))
        .build();
client.newCall(putRequest).enqueue(new Callback() {
    @Override
    public void onFailure(Call call, IOException e) {
        e.printStackTrace();
    }

    @Override
    public void onResponse(Call call, Response response) throws IOException {
        Log.d("response", response.body().string());
    }
});

署名付きURLを生成し、署名付きURLを使用してオブジェクトをダウンロード

署名付きURLを生成します。

// Specify the name of the bucket. Example: examplebucket. 
String bucketName = "examplebucket";
// Specify the full path of the source object. Do not include the bucket name in the full path. Example: exampleobject.txt. 
String objectKey = "exampleobject.txt";
String url = null;
try {
    // Generate a signed URL to download the object. 
    GeneratePresignedUrlRequest request = new GeneratePresignedUrlRequest(bucketName, objectKey);
    // Set the validity period of the signed URL to 30 minutes. 
    request.setExpiration(30*60);
    request.setMethod(HttpMethod.GET);
    url = oss.presignConstrainedObjectURL(request);
    Log.d("url", url);
} catch (ClientException e) {
    e.printStackTrace();
}

署名付きURLを使用してオブジェクトをダウンロードします。

// Enter the generated signed URL. 
String url = "";
OkHttpClient client = new OkHttpClient();
// Use the signed URL to download the object. 
Request getRequest = new Request.Builder()
        .url(url)
        .get()
        .build();
client.newCall(getRequest).enqueue(new Callback() {
    @Override
    public void onFailure(Call call, IOException e) {
        e.printStackTrace();
    }

    @Override
    public void onResponse(Call call, Response response) throws IOException {
        if (response.code() == 203 || response.code() >= 300) {
            Log.d("download", "fail");
            Log.d("download", response.body().string());
            return;
        }
        // The object is downloaded. 
        InputStream inputStream = response.body().byteStream();

        byte[] buffer = new byte[2048];
        int len;

        while ((len = inputStream.read(buffer)) != -1) {
            // Process the downloaded data. For example, display the image or perform a write operation on the object. 
        }
    }
});