本文介绍如何使用STS以及签名URL临时授权访问OSS资源。
注意事项
由于STS临时账号以及签名URL均需设置有效时长,当您使用STS临时账号生成签名URL执行相关操作(例如上传、下载文件)时,以最小的有效时长为准。例如您的STS临时账号的有效时长设置为1200秒、签名URL设置为3600秒时,当有效时长超过1200秒后,您无法使用此STS临时账号生成的签名URL上传文件。
本文以华东1(杭州)外网Endpoint为例。如果您希望通过与OSS同地域的其他阿里云产品访问OSS,请使用内网Endpoint。关于OSS支持的Region与Endpoint的对应关系,请参见访问域名和数据中心。
本文以OSS域名新建Client为例。如果您希望通过自定义域名、STS等方式新建OSSClient,请参见初始化Client。
使用STS进行临时授权
OSS可以通过阿里云STS(Security Token Service)进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。关于STS的更多信息,请参见STS介绍。
STS的优势如下:
您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
您无需关心权限撤销问题,访问令牌过期后自动失效。
通过STS临时授权访问OSS的步骤如下:
获取临时访问凭证
临时访问凭证包括临时访问密钥(AccessKey ID和AccessKey Secret)和安全令牌(SecurityToken)。临时访问凭证有效时间单位为秒,最小值为900,最大值以当前角色设定的最大会话时间为准。更多信息,请参见设置RAM角色最大会话时间。
您可以通过以下两种方式获取临时访问凭证。
方式一
通过调用STS服务的AssumeRole接口获取临时访问凭证。
方式二
通过各语言STS SDK获取临时访问凭证。
使用STS临时访问凭证上传文件。
require 'aliyun/sts'
require 'aliyun/oss'
sts = Aliyun::STS::Client.new( 。
# 从环境变量中获取访问凭证。运行本代码示例之前,请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
access_key_id: ENV['OSS_ACCESS_KEY_ID'],
access_key_secret: ENV['OSS_ACCESS_KEY_SECRET']
)
# 依次填写角色ARN并自定义角色会话名称。
token = sts.assume_role('role-arn', 'session-name')
client = Aliyun::OSS::Client.new(
# Endpoint以华东1(杭州)为例,其它Region请按实际情况填写。
endpoint: 'https://oss-cn-hangzhou.aliyuncs.com',
# 从STS服务获取的临时访问密钥(AccessKey ID和AccessKey Secret)。
access_key_id: 'token.access_key_id',
access_key_secret: 'token.access_key_secret',
# 从STS服务获取的安全令牌(SecurityToken)。
sts_token: 'token.security_token')
# 填写Bucket名称,例如examplebucket。
bucket = client.get_bucket('examplebucket')
# 上传文件。
bucket.put_object('exampleobject.txt', :file => 'D:\\localpath\\examplefile.txt')使用签名URL进行临时授权
注意事项
生成签名URL过程中,SDK利用本地存储的密钥信息,根据特定算法计算出签名(signature),然后将其附加到URL上,以确保URL的有效性和安全性。这一系列计算和构造URL的操作都是在客户端完成,不涉及网络请求到服务端。因此,生成签名URL时不需要授予调用者特定权限。但是,为避免第三方用户无法对签名URL授权的资源执行相关操作,需要确保调用生成签名URL接口的身份主体被授予对应的权限。
例如,通过签名URL下载或预览文件时,需要授予oss:GetObject权限。
您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时,您可以自定义URL的过期时间来限制访客的访问时长。
如果需要生成HTTPS协议的签名URL,请将Endpoint中的通信协议设置为HTTPS。
通过以下示例生成的签名URL中如果包含特殊符号
+,可能出现无法正常访问该签名URL的现象。如需正常访问该签名URL,请将签名URL中的+替换为%2B。
生成签名URL并通过签名URL下载文件
生成用于下载的签名URL。
require 'aliyun/oss' client = Aliyun::OSS::Client.new( # Endpoint以华东1(杭州)为例,其它Region请按实际情况填写。 endpoint: 'https://oss-cn-hangzhou.aliyuncs.com', # 从环境变量中获取访问凭证。运行本代码示例之前,请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。 access_key_id: ENV['OSS_ACCESS_KEY_ID'], access_key_secret: ENV['OSS_ACCESS_KEY_SECRET'] ) # 填写Bucket名称,例如examplebucket。 bucket = client.get_bucket('examplebucket') # 生成签名URL,并指定URL有效时间为1小时(3600秒)。 puts bucket.object_url('my-object', true, 3600)- 在移动端或者浏览器端通过签名URL下载文件。
// 填写生成的签名URL。 String url = ""; OkHttpClient client = new OkHttpClient(); // 通过签名URL下载文件。 Request getRequest = new Request.Builder() .url(url) .get() .build(); client.newCall(getRequest).enqueue(new Callback() { @Override public void onFailure(Call call, IOException e) { e.printStackTrace(); } @Override public void onResponse(Call call, Response response) throws IOException { if (response.code() == 203 || response.code() >= 300) { Log.d("download", "fail"); Log.d("download", response.body().string()); return; } // 请求成功。 InputStream inputStream = response.body().byteStream(); byte[] buffer = new byte[2048]; int len; while ((len = inputStream.read(buffer)) != -1) { // 处理下载的数据,例如图片展示或者写入文件等。 } } });// 使用签名URL下载文件。 NSURL * url = [NSURL URLWithString:urlString]; NSURLRequest * request = [NSURLRequest requestWithURL:url]; NSURLSession * session = [NSURLSession sharedSession]; NSURLSessionTask * sessionTask = [session dataTaskWithRequest:request completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) { if (error) { NSLog(@"download error: %@", error); return; } else if (((NSHTTPURLResponse*)response).statusCode == 203 || ((NSHTTPURLResponse*)response).statusCode >= 300) { NSString *body = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]; NSLog(@"download error: %@", body); return; } NSLog(@"download success"); }]; [sessionTask resume];// 通过HTML中<a>标签的download属性、Web API中的window.open等方式使用获取的文件URL。