全部产品
Search

搜索本产品

    对象存储 OSS:iOS授权访问

    文档中心

    对象存储 OSS:iOS授权访问

    更新时间:Sep 18, 2024

    iOS SDK提供了STS鉴权模式、自签名模式以及URL签名的方式来保障移动终端的安全性。

    注意事项

    无论是STS鉴权模式还是自签名模式,您实现的回调函数都需要保证调用时Token、Signature的返回结果。如果您需要实现向业务Server获取Token、Signature的网络请求,建议调用网络库的同步接口。回调都是在SDK发起具体请求时,在请求的子线程中执行,所以不会阻塞主线程。

    STS鉴权模式

    通过STS临时授权访问OSS的步骤如下:

    1. 获取临时访问凭证

      临时访问凭证包括临时访问密钥(AccessKey ID和AccessKey Secret)和安全令牌(SecurityToken)。临时访问凭证有效时间单位为秒,最小值为900,最大值以当前角色设定的最大会话时间为准。更多信息,请参见设置RAM角色最大会话时间

      您可以通过以下两种方式获取临时访问凭证。

      • 方式一

        通过调用STS服务的AssumeRole接口获取临时访问凭证。

      • 方式二

        通过各语言STS SDK获取临时访问凭证。

    2. 使用临时访问凭证初始化SDK

      id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"];
client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];
      说明

      如果您需要使用OSSAuthCredentialProvider初始化SDK,请参见初始化

      通过临时访问凭证初始化SDK时,需要注意StsToken的有效时间。以下代码用于判断StsToken的有效时间:

      NSDateFormatter * fm = [NSDateFormatter new];
fm.locale = [NSLocale localeWithLocaleIdentifier:@"en_US_POSIX"];
[fm setDateFormat:@"yyyy-MM-dd'T'HH:mm:ssZ"];
NSDate *expirationDate = [fm dateFromString:@"<StsToken.Expiration>"];
NSTimeInterval interval = [expirationDate timeIntervalSinceDate:[NSDate date]];
// 即将过期,有效时间小于5分钟。
if (interval < 5 * 60) {
    id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"];
    client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];
}

      • 手动更新StsToken

        当判断StsToken即将过期时,您可以重新构造OSSClient,也可以通过如下方式更新CredentialProvider。

        id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"];
client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];

      • 自动更新StsToken

        如果您期望SDK自动更新StsToken,那么您需要在SDK的应用中实现回调。通过您实现回调的方式去获取Federation Token(即StsToken),SDK会使用此StsToken来进行加签处理,并在需要更新时主动调用此回调来获取StsToken。

        id<OSSCredentialProvider> credential = [[OSSFederationCredentialProvider alloc] initWithFederationTokenGetter:^OSSFederationToken * {
    // 您需要在此处实现获取一个FederationToken,并构造成OSSFederationToken对象返回。
    // 如果由于某种原因获取失败,直接返回nil。
      OSSFederationToken * token;
    // 从您的服务器中获取token。
    ...
    return token;
}];
client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];
        说明

        如果您已经通过其他方式获取了StsToken所需的各个字段,也可以在回调中直接返回StsToken。但您需要手动处理StsToken的更新,且更新后重新设置该OSSClient实例的OSSCredentialProvider。

        假设您访问的Server地址为http://localhost:8080/distribute-token.json,则返回的数据如下:

        {
    "StatusCode": 200,
    "AccessKeyId":"STS.iA645eTOXEqP3cg3****",
    "AccessKeySecret":"rV3VQrpFQ4BsyHSAvi5NVLpPIVffDJv4LojU****",
    "Expiration":"2015-11-03T09:52:59Z",
    "SecurityToken":"CAES7QIIARKAAZPlqaN9ILiQZPS+JDkS/GSZN45RLx4YS/p3OgaUC+oJl3XSlbJ7StKpQ****"
}

        实现OSSFederationCredentialProvider的示例如下。

        id<OSSCredentialProvider> credential2 = [[OSSFederationCredentialProvider alloc] initWithFederationTokenGetter:^OSSFederationToken * {
    // 构造请求访问您的业务Server。
    NSURL * url = [NSURL URLWithString:@"http://localhost:8080/distribute-token.json"];
    // 通过request设置自有服务器需要的参数。
    NSURLRequest * request = [NSURLRequest requestWithURL:url];
    OSSTaskCompletionSource * tcs = [OSSTaskCompletionSource taskCompletionSource];
    NSURLSession * session = [NSURLSession sharedSession];
    // 发送请求。
    NSURLSessionTask * sessionTask = [session dataTaskWithRequest:request
                                                completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) {
                                                    if (error) {
                                                        [tcs setError:error];
                                                        return;
                                                    }
                                                    [tcs setResult:data];
                                                }];
    [sessionTask resume];
    // 需要阻塞等待请求返回。
    [tcs.task waitUntilFinished];
    // 解析结果。
    if (tcs.task.error) {
        NSLog(@"get token error: %@", tcs.task.error);
        return nil;
    } else {
        // 返回数据为JSON格式,需要解析返回数据得到token的各个字段。
        NSDictionary * object = [NSJSONSerialization JSONObjectWithData:tcs.task.result
                                                                options:kNilOptions
                                                                  error:nil];
        OSSFederationToken * token = [OSSFederationToken new];
        token.tAccessKey = [object objectForKey:@"AccessKeyId"];
        token.tSecretKey = [object objectForKey:@"AccessKeySecret"];
        token.tToken = [object objectForKey:@"SecurityToken"];
        token.expirationTimeInGMTFormat = [object objectForKey:@"Expiration"];
        NSLog(@"get token: %@", token);
        return token;
    }
}];

    签名URL

    注意事项

    • 生成签名URL过程中,SDK利用本地存储的密钥信息,根据特定算法计算出签名(signature),然后将其附加到URL上,以确保URL的有效性和安全性。这一系列计算和构造URL的操作都是在客户端完成,不涉及网络请求到服务端。因此,生成签名URL时不需要授予调用者特定权限。但是,为避免第三方用户无法对签名URL授权的资源执行相关操作,需要确保调用生成签名URL接口的身份主体被授予对应的权限。

      例如,通过签名URL上传文件时,需要授予oss:PutObject权限。通过签名URL下载或预览文件时,需要授予oss:GetObject权限。

    • 通过以下示例生成的签名URL中如果包含特殊符号+,可能出现无法正常访问该签名URL的现象。如需正常访问该签名URL,请将签名URL中的+替换为%2B

    使用签名URL上传文件

    1. 生成用于上传文件的签名URL。

      // 填写Bucket名称。
NSString *bucketName = @"examplebucket";
// 填写Object名称。
NSString *objectKey = @"exampleobject.txt";
NSURL *file = [NSURL fileURLWithPath:@"<filePath>"];
NSString *contentType = [OSSUtil detemineMimeTypeForFilePath:file.absoluteString uploadName:objectKey];
__block NSString *urlString;
// 生成用于上传的签名URL,并指定签名URL过期时间为30分钟。
OSSTask *task = [client presignConstrainURLWithBucketName:bucketName
                                            withObjectKey:objectKey
                                               httpMethod:@"PUT"
                                   withExpirationInterval:30 * 60
                                           withParameters:@{}
                                              contentType:contentType
                                               contentMd5:nil];
[task continueWithBlock:^id _Nullable(OSSTask * _Nonnull task) {
    if (task.error) {
        NSLog(@"presign error: %@", task.error);
    } else {
        urlString = task.result;
        NSLog(@"url: %@", urlString);
    }
    return nil;
}];

    2. 使用签名URL上传文件。

      // 通过签名URL上传文件。
NSURL * url = [NSURL URLWithString:urlString];
NSMutableURLRequest * request = [NSMutableURLRequest requestWithURL:url];
request.HTTPMethod = @"PUT";
request.allHTTPHeaderFields = @{OSSHttpHeaderContentType: contentType};
NSURLSession * session = [NSURLSession sharedSession];
NSURLSessionTask * sessionTask = [session uploadTaskWithRequest:request
                                                       fromFile:file
                                              completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
    if (error) {
        NSLog(@"upload error: %@", error);
        return;
    } else if (((NSHTTPURLResponse*)response).statusCode == 203 ||
               ((NSHTTPURLResponse*)response).statusCode >= 300) {
        NSString *body = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
        NSLog(@"upload error: %@", body);
        return;
    }
    NSLog(@"upload success");
}];
[sessionTask resume];

    使用签名URL下载文件

    1. 生成用于下载文件的签名URL。

      // 填写Bucket名称。
NSString *bucketName = @"examplebucket";
// 填写Object名称。
NSString *objectKey = @"exampleobject.txt";
__block NSString *urlString;
// 生成用于下载的签名URL,并指定签名URL过期时间为30分钟。
OSSTask *task = [client presignConstrainURLWithBucketName:bucketName
                                            withObjectKey:objectKey
                                               httpMethod:@"GET"
                                   withExpirationInterval:30 * 60
                                           withParameters:@{}];
[task continueWithBlock:^id _Nullable(OSSTask * _Nonnull task) {
    if (task.error) {
        NSLog(@"presign error: %@", task.error);
    } else {
        urlString = task.result;
        NSLog(@"url: %@", urlString);
    }
    return nil;
}];

    2. 使用签名URL下载文件。

      // 使用签名URL下载文件。
NSURL * url = [NSURL URLWithString:urlString];
NSURLRequest * request = [NSURLRequest requestWithURL:url];
NSURLSession * session = [NSURLSession sharedSession];
NSURLSessionTask * sessionTask = [session dataTaskWithRequest:request
                                            completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
    if (error) {
        NSLog(@"download error: %@", error);
        return;
    } else if (((NSHTTPURLResponse*)response).statusCode == 203 ||
               ((NSHTTPURLResponse*)response).statusCode >= 300) {
        NSString *body = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
        NSLog(@"download error: %@", body);
        return;
    }
    NSLog(@"download success");
}];
[sessionTask resume];