本文讲解如何搭建一个基于OSS的移动应用数据直传服务并设置上传回调。
背景信息
快速搭建移动应用直传服务介绍了如何快速搭建一个基于OSS的移动应用数据直传服务。但该方案有个问题:对于Android/iOS移动应用来说,只需要申请一次STS凭证,就能多次使用该STS凭证上传数据到OSS。这就导致应用服务器无法得知用户上传了哪些数据 ,作为该App的开发者,就无法对应用上传数据进行管理。为此OSS提供了上传回调方案。
流程介绍
上传回调的开发流程如下:
OSS在收到Android/iOS移动应用的数据(上图中步骤5)和在返回用户上传结果(上图中步骤7)之间,触发一个上传回调任务,即第上图中步骤6,通过回调用户服务器获取应用服务器返回的内容,然后将此内容返回给Android/iOS移动应用。详情请参见Callback API文档。
上传回调的作用
通过上传回调让用户应用服务器知道当前上传文件的基本信息。
返回的基本信息可以包含下表中一个或多个变量,返回内容的格式在Android/iOS上传时指定。
系统变量
含义
bucket
移动应用上传文件到OSS的哪个存储空间
object
移动应用上传文件到OSS后保存的文件名
etag
该上传的文件的ETag,即返回给用户的etag字段
size
上传文件的大小
mimeType
资源类型
imageInfo.height
图片高度
imageInfo.width
图片宽度
imageInfo.format
图片格式,如JPG、PNG等
通过上传回调设定自定义参数,达到信息传递的目的。
假如您是一个开发者,您想知道当前用户所使用的App版本、当前用户所在的操作系统版本、用户的GPS信息、用户的手机型号。您可以在Android/iOS端上传文件时,指定以下自定义参数:
x:version:指定App版本
x:system:指定操作系统版本
x:gps:指定GPS信息
x:phone:指定手机型号
Android/iOS移动应用上传文件到OSS时附带上述参数,然后OSS把这些参数放到CallbackBody里发给应用服务器。这样应用服务器就能收到这些信息,达到信息传递的目的。
上传回调对应用服务器的要求
部署一个可以接收POST请求的服务,这个服务必须有公网地址,例如
http://example.com/callback.php。您必须给OSS正确的返回,返回格式必须是JSON格式,内容自定义。OSS会把应用服务器返回的内容再返回给Android/iOS移动应用。详情请参见Callback API文档。
在移动应用端设置上传回调
要让OSS在接收上传请求时触发上传回调,移动应用在构造上传请求时必须把如下内容指定到上传请求里面:
要回调到哪个服务器(callbackUrl),例如
http://example.com/callback.php,这个地址必须是公网能够访问的。上传回调给应用服务器的内容(callbackBody),可以是上述OSS返回应用服务器系统变量的一个或者多个。
假如您的用户服务器上传回调地址是http://example.com/callback.php。您想获取手机上传的文件名称、文件的大小,并且定义了x:phone变量是指手机型号,x:system变量是指操作系统版本。
上传回调示例分以下两种:
iOS指定上传回调示例:
OSSPutObjectRequest * request = [OSSPutObjectRequest new]; request.bucketName = @"<bucketName>"; request.objectKey = @"<objectKey>"; request.uploadingFileURL = [NSURL fileURLWithPath:@"<filepath>"]; // 设置回调参数 request.callbackParam = @{ @"callbackUrl": @"http://example.com/callback.php", @"callbackBody": @"filename=${object}&size=${size}&phone=${x:phone}&system=${x:system}" }; // 设置自定义变量 request.callbackVar = @{ @"x:phone": @"iphone6s", @"x:system": @"ios9.1" };Android指定上传回调示例:
PutObjectRequest put = new PutObjectRequest(testBucket, testObject, uploadFilePath); ObjectMetadata metadata = new ObjectMetadata(); metadata.setContentType("application/octet-stream"); put.setMetadata(metadata); put.setCallbackParam(new HashMap<String, String>() { { put("callbackUrl", "http://example.com/callback.php"); put("callbackBody", "filename=${object}&size=${size}&phone=${x:phone}&system=${x:system}"); } }); put.setCallbackVars(new HashMap<String, String>() { { put("x:phone", "iPhone 6s"); put("x:system", "YunOS5.0"); } });
应用服务器收到的回调请求
根据设定的不同URL和回调内容,应用服务器收到的回调请求会有所不同,示例如下:
POST /index.html HTTP/1.0
Host: 203.0.113.0
Connection: close
Content-Length: 81
Content-Type: application/x-www-form-urlencoded
User-Agent: ehttp-client/0.0.1
authorization: kKQe**************/kdD1ktNVgbWE**************
x-oss-pub-key-url: aHR0**************
filename=test.txt&size=5&phone=iphone6s&system=ios9.1更多内容请参见Callback API文档。
应用服务器判断回调请求是否来自OSS
如果您的回调服务器被人恶意攻击了,例如恶意回调您的应用服务器,导致应用服务器收到一些非法的请求,影响正常逻辑,此时您就需要判断回调请求是否来自OSS。
判断的方法主要是根据OSS给应用服务器返回的头部内容中 x-oss-pub-key-url和authorization这两个参数进行RSA校验。只有通过RSA校验才能说明这个请求是来自OSS。本文提供的示例程序有实现的示例供您参考。
应用服务器收到回调请求后的处理
应用服务器在校验这个请求是来自OSS后,指定回调给应用服务器的内容格式,如
filename=test.txt&size=5&phone=iphone6s&system=ios9.1应用服务器就可以根据OSS的返回内容,解析得到自己想要的数据。得到这个数据后,应用服务器可以把数据存放起来,方便后续管理。
OSS如何处理应用服务器的返回内容
有两种情况:
OSS将回调请求发送给应用服务器,但是应用服务器接收失败或者访问不通,OSS会返回给Android/iOS移动应用203的状态码,但是数据已经存放到OSS上了。
应用服务器接收到OSS的回调请求,并且正确返回了,OSS会返回给Android/iOS移动应用状态码200,并把应用服务器返回给OSS的内容返回给Android/iOS移动应用。
示例程序下载
示例程序只是完成了如何检查应用服务器收到的签名, 您需要自行增加对应用服务器收到回调内容的格式解析 。
Java
下载地址。
运行方法:解压后运行java -jar oss-callback-server-demo.jar 9000。9000是运行的端口,可以自己指定。
说明这个JAR例子在Java 1.7运行通过,如果有问题请依据提供的代码自行修改。这是一个Maven项目。
PHP
下载地址。
运行方法:将解压包部署到Apache环境下,因为PHP本身语言的特点,某些数据头部的获取会依赖于环境。请参考例子根据实际环境进行修改。
Python
下载地址。
运行方法:解压后直接运行python callback_app_server.py即可,程序自实现了一个简单的HTTP Server,运行该程序可能需要安装RSA的依赖。
Ruby版本
下载地址。
运行方法: 运行ruby server.rb。
常见问题
callback地址是否可以篡改成其他地址,由其他服务器接收回调并确认上传成功与否?
不可以篡改成其他地址,因为参数会被签名被OSS服务端验证,而篡改的内容无法通过验证。