本文介绍如何进行授权访问。
使用STS进行临时授权
OSS可以通过阿里云STS (Security Token Service) 进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。STS更详细的解释请参见STS介绍。
STS的优势如下:
- 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
- 您无需关心权限撤销问题,访问令牌过期后自动失效。
搭建STS服务的具体操作请参见开发指南中的STS临时授权访问OSS。
以下代码用于客户端使用STS凭证构造签名请求。
// 向您搭建的STS服务获取临时访问凭证。
fetch('http://your_sts_server/')
.then(resp => resp.json())
.then(result => {
const store = new OSS({
accessKeyId: result.AccessKeyId,
accessKeySecret: result.AccessKeySecret,
stsToken: result.SecurityToken,
// region表示Bucket所在地域。以华东1(杭州)为例,设置region为oss-cn-hangzhou。
region: 'oss-cn-hangzhou',
bucket: 'examplebucket'
});
// 生成签名URL。
const url = store.signatureUrl('ossdemo.txt');
console.log(url);
})
使用签名URL进行临时授权
- 生成签名URL
您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时,您可以通过指定URL的过期时间来限制访客的访问时长。
- 生成对象签名URL
说明 name {String}表示存放在OSS的Object名称,[expires] {Number}表示URL过期时间,默认值为1800秒。其他参数相关说明,请参见Github。以下代码用于生成对象签名URL。
const url = store.signatureUrl('ossdemo.txt'); console.log(url); // -------------------------------------------------- const url = store.signatureUrl('ossdemo.txt', { expires: 3600, method: 'PUT' }); console.log(url); // put object with signatureUrl // ------------------------------------------------- const url = store.signatureUrl('ossdemo.txt', { expires: 3600, method: 'PUT', 'Content-Type': 'text/plain; charset=UTF-8', }); console.log(url); // -------------------------------------------------- const url = store.signatureUrl('ossdemo.txt', { expires: 3600, response: { 'content-type': 'text/custom', 'content-disposition': 'attachment' } }); console.log(url); // put operation
- 生成图片处理的签名URL
const url = store.signatureUrl('ossdemo.png', { process: 'image/resize,w_200' }); console.log(url); // -------------------------------------------------- const url = store.signatureUrl('ossdemo.png', { expires: 3600, process: 'image/resize,w_200' }); console.log(url);