阿里雲團隊努力不懈,力求將最新的技術內容更快地以您最熟悉的語言呈現。本文由簡體中文內容自動轉碼而成,過程無人工干預。阿里雲不保證此自動轉碼的準確性、完整性及時效性。因轉碼造成的任何內容錯誤及因此可能帶來的損失,阿里雲概不負責,敬請見諒。本文内容請以簡體中文版本為準。
全部產品
Search
文件中心

存取控制

更新時間: Oct 19, 2018

移動終端是一個不受信任的環境。為此,SDK提供了兩種依賴於您的業務Server的鑒權模式: STS鑒權模式自簽名模式

STS鑒權模式

介紹

OSS可以通過阿里雲STS服務,臨時進行授權訪問。阿里雲STS (Security Token Service) 是為雲端運算使用者提供臨時存取權杖的Web服務。通過STS,您可以為第三方應用或聯邦使用者(使用者身份由您自己管理)頒發一個自訂時效和許可權的訪問憑證,App端稱為FederationToken。第三方應用或聯邦使用者可以使用該訪問憑證直接調用阿里雲產品API,或者使用阿里雲產品提供的SDK來訪問雲產品API。

  • 您不需要透露您的長期密鑰(AccessKey)給第三方應用,只需要生成一個存取權杖並將令牌交給第三方應用即可。這個令牌的存取權限及有效期間限都可以由您自訂。
  • 您不需要關心許可權撤銷問題,存取權杖過期後就自動失效。

以APP應用為例,互動流程如下圖:

方案的詳細描述如下:

  1. App使用者登入。App使用者身份是您自己管理。您可以自訂身份管理系統,也可以使用外部Web帳號或OpenID。對於每個有效App使用者來說,AppServer可以確切地定義出每個App使用者的最小存取權限。
  2. AppServer請求STS服務獲取一個安全性權杖(SecurityToken)。在調用STS之前,AppServer需要確定App使用者的最小存取權限(用Policy文法描述)以及授權的過期時間。然後通過調用STS的AssumeRole(扮演角色)介面來獲取安全性權杖。角色管理與使用相關內容請參考RAM使用指南中的角色管理
  3. STS返回給AppServer一個有效訪問憑證,App端稱為FederationToken,包括一個安全性權杖(SecurityToken)、臨時存取金鑰(AccessKeyId, AccessKeySecret)以及過期時間。
  4. AppServer將FederationToken返回給ClientApp。ClientApp可以緩存這個憑證。當憑證失效時,ClientApp需要向AppServer申請新的有效訪問憑證。比如,訪問憑證有效期間為1小時,那麼ClientApp可以每30分鐘向AppServer請求更新訪問憑證。
  5. ClientApp使用本機快取的FederationToken去請求Aliyun Service API。雲端服務會感知STS訪問憑證,並會依賴STS服務來驗證訪問憑證,並正確響應使用者請求。

STS安全性權杖詳情,請參考《RAM使用指南》中的角色管理。關鍵是調用STS服務介面AssumeRole來獲取有效訪問憑證即可。也可以直接使用STS SDK來調用該方法,點擊查看

使用這種模式授權需要先開通阿里雲RAM服務。

STS使用手冊:點擊查看

OSS授權策略配置:點擊查看

直接設定StsToken

您可以在APP中,預先通過某種方式(如通過網路請求從您的業務Server上)獲取一對StsToken,然後用它來初始化SDK。採取這種使用方式,您需要格外關注StsToken的過期時間,在StsToken即將過期時,需要您主動更新新的StsToken到SDK中。

初始化代碼為:

  1. String endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
  2. OSSCredentialProvider credentialProvider = new OSSStsTokenCredentialProvider("<StsToken.AccessKeyId>", "<StsToken.SecretKeyId>", "<StsToken.SecurityToken>");
  3. OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);

在您判斷到Token即將過期時,您可以重新構造新的OSSClient,也可以通過如下方式更新CredentialProvider:

  1. oss.updateCredentialProvider(new OSSStsTokenCredentialProvider("<StsToken.AccessKeyId>", "<StsToken.SecretKeyId>", "<StsToken.SecurityToken>"));

實現獲取StsToken回調

如果您期望SDK能自動幫您管理Token的更新,那麼,您需要告訴SDK如何獲取Token。在SDK的應用中,您需要實現一個回調,這個回調通過您實現的方式去獲取一個Federation Token(即StsToken),然後返回。SDK會利用這個Token來進行加簽處理,並在需要更新時主動調用這個回調獲取Token,如圖示:

  1. String endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
  2. OSSCredentialProvider credentialProvider = new OSSFederationCredentialProvider() {
  3. @Override
  4. public OSSFederationToken getFederationToken() {
  5. // 您需要在這裡實現獲取一個FederationToken,並構造成OSSFederationToken對象返回
  6. // 如果因為某種原因獲取失敗,可直接返回nil
  7. OSSFederationToken * token;
  8. // 下面是一些獲取token的代碼,比如從您的server獲取
  9. ...
  10. return token;
  11. }
  12. };
  13. OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);

此外,如果您已經通過別的方式拿到token所需的各個欄位,也可以在這個回調中直接返回。如果這麼做的話,您需要自己處理token的更新,更新後重新設定該OSSClient執行個體的OSSCredentialProvider。

使用樣本:

假設您搭建的server地址為: http://localhost:8080/distribute-token.json ,並假設訪問這個地址,返回的資料如下:

  1. {
  2. "StatusCode": 200,
  3. "AccessKeyId":"STS.iA645eTOXEqP3cg3VeHf",
  4. "AccessKeySecret":"rV3VQrpFQ4BsyHSAvi5NVLpPIVffDJv4LojUBZCf",
  5. "Expiration":"2015-11-03T09:52:59Z",
  6. "SecurityToken":"CAES7QIIARKAAZPlqaN9ILiQZPS+JDkS/GSZN45RLx4YS/p3OgaUC+oJl3XSlbJ7StKpQ...."}

那麼,您可以這麼實現一個OSSFederationCredentialProvider執行個體:

  1. OSSCredentialProvider credetialProvider = new OSSFederationCredentialProvider() {
  2. @Override
  3. public OSSFederationToken getFederationToken() {
  4. try {
  5. URL stsUrl = new URL("http://localhost:8080/distribute-token.json");
  6. HttpURLConnection conn = (HttpURLConnection) stsUrl.openConnection();
  7. InputStream input = conn.getInputStream();
  8. String jsonText = IOUtils.readStreamAsString(input, OSSConstants.DEFAULT_CHARSET_NAME);
  9. JSONObject jsonObjs = new JSONObject(jsonText);
  10. String ak = jsonObjs.getString("AccessKeyId");
  11. String sk = jsonObjs.getString("AccessKeySecret");
  12. String token = jsonObjs.getString("SecurityToken");
  13. String expiration = jsonObjs.getString("Expiration");
  14. return new OSSFederationToken(ak, sk, token, expiration);
  15. } catch (Exception e) {
  16. e.printStackTrace();
  17. }
  18. return null;
  19. }
  20. };

自簽名模式

您可以把AccessKeyId/AccessKeySecret保存在您的業務server,然後在SDK實現回調,將需要加簽的合并好的簽名串POST到server,您在業務server對這個串按照OSS規定的簽名演算法簽名之後,返回給該回呼函數,再由回調返回。

簽名演算法參考:點擊查看

content是已經根據請求各個參數拼接後的字元串,所以演算法為:

  1. signature = "OSS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content))

代碼如下:

  1. String endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
  2. credentialProvider = new OSSCustomSignerCredentialProvider() {
  3. @Override
  4. public String signContent(String content) {
  5. // 您需要在這裡依照OSS規定的簽名演算法,實現加簽一串字元內容,並把得到的簽名傳拼接上AccessKeyId後返回
  6. // 一般實現是,將字元內容post到您的商務服務器,然後返回簽名
  7. // 如果因為某種原因加簽失敗,描述error資訊後,返回nil
  8. // 以下是用本地演算法進行的示範
  9. return "OSS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content));
  10. }
  11. };
  12. OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);

特別注意: 無論是STS鑒權模式,還是自簽名模式,您實現的回呼函數,都需要保證調用時返回結果。所以,如果您在其中實現了向業務server獲取token、signature的網路請求,建議調用網路程式庫的同步介面。回調都是在SDK具體請求的時候,在請求的子線程中執行,所以不會阻塞主線程。