本文介绍如何使用STS以及签名URL临时授权访问OSS资源。
注意 由于STS临时账号以及签名URL均需设置有效时长,当您使用STS临时账号生成签名URL执行相关操作(例如上传、下载文件)时,以最小的有效时长为准。例如您的STS临时账号的有效时长设置为1200秒、签名URL设置为3600秒时,当有效时长超过1200秒后,您无法使用此STS临时账号生成的签名URL上传文件。
使用STS进行临时授权
OSS可以通过阿里云STS(Security Token Service)进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。关于STS的更多信息,请参见STS介绍。
STS的优势如下:
- 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
- 您无需关心权限撤销问题,访问令牌过期后自动失效。
通过STS临时授权访问OSS的步骤如下:
- 获取临时访问凭证
临时访问凭证包括临时访问密钥(AccessKey ID和AccessKey Secret)和安全令牌(SecurityToken)。临时访问凭证有效时间单位为秒,最小值为900,最大值以当前角色设定的最大会话时间为准。更多信息,请参见设置角色最大会话时间。
您可以通过以下两种方式获取临时访问凭证。
- 方式一
通过调用STS服务的AssumeRole接口获取临时访问凭证。
- 方式二
通过各语言STS SDK获取临时访问凭证。
- 方式一
- 客户端使用STS凭证构造签名请求。
// 向您搭建的STS服务获取临时访问凭证。 fetch('http://your_sts_server/') .then(resp => resp.json()) .then(result => { const store = new OSS({ // 从STS服务获取的临时访问密钥(AccessKey ID和AccessKey Secret)。 accessKeyId: result.AccessKeyId, accessKeySecret: result.AccessKeySecret, // 从STS服务获取的安全令牌(SecurityToken)。 stsToken: result.SecurityToken, // 填写Bucket所在地域。以华东1(杭州)为例,设置region为oss-cn-hangzhou。 region: 'oss-cn-hangzhou', // 填写Bucket名称,例如examplebucket。 bucket: 'examplebucket' }); // 生成签名URL。 // 填写Object完整路径,例如ossdemo.txt。Object完整路径中不能包含Bucket名称。 const url = store.signatureUrl('ossdemo.txt'); console.log(url); })
使用签名URL进行临时授权
注意 如果要在前端使用带可选参数的签名URL,请确保在服务端生成该签名URL时设置的Content-Type与在前端使用时设置的Content-Type一致,否则可能出现SignatureDoesNotMatch错误。设置Content-Type的具体操作,请参见如何设置Content-Type(MIME)?。
- 生成签名URL
- 生成对象签名URL
说明 name {String}表示存放在OSS的Object名称,[expires] {Number}表示URL过期时间,默认值为1800秒。其他参数相关说明,请参见Github。以下代码用于生成对象签名URL。
const url = store.signatureUrl('exampleobject.txt'); console.log(url); // 获取上传exampleobject.txt文件的签名URL。 const url = store.signatureUrl('exampleobject.txt', { // 设置过期时间为3600秒。 expires: 3600, // 设置请求方式为PUT。默认请求方式为GET。 method: 'PUT' }); console.log(url); const url = store.signatureUrl('exampleobject.txt', { expires: 3600, method: 'PUT', // 设置Content-Type。 'Content-Type': 'text/plain; charset=UTF-8', }); console.log(url); // 获取下载exampleobject.txt文件的签名URL,使用浏览器访问时默认直接预览要下载的文件。 const url = store.signatureUrl('exampleobject.txt', { expires: 3600, response: { 'content-type': 'text/custom', // 获取下载exampleobject.txt文件的签名URL,配置文件HTTP头中的Content-Disposition为attachment,实现浏览器访问时自动下载文件,并自定义下载后的文件名称。 // 如果您希望直接在浏览器中预览文件,配置文件HTTP头中的Content-Disposition为inline并使用Bucket绑定的自定义域名进行访问。 'content-disposition': 'attachment' } }); console.log(url); - 生成带有图片处理参数的签名URL
// 获取图片文件exampleobject.png签名URL。 // 填写不包含Bucket名称在内的Object完整路径。 const url = store.signatureUrl('exampleobject.png', { // 设置图片处理参数。 process: 'image/resize,w_200' }); console.log(url); // 设置过期时间为3600秒。 const url = store.signatureUrl('exampleobject.png', { expires: 3600, process: 'image/resize,w_200' }); console.log(url);
- 生成对象签名URL
- 使用签名URL
生成签名URL后,您可以通过签名URL上传、预览或者下载文件。
- 使用签名URL上传文件
// signatureUrl填写生成的签名URL。 const url = 'signatureUrl'; var xhr = new XMLHttpRequest(); xhr.open('PUT', url, true); xhr.onload = function () { // 请求结束后,在此处编写处理代码。 }; xhr.send(null); // xhr.send('string'); // xhr.send(new Blob()); // xhr.send(new Int8Array()); // xhr.send({ form: 'data' }); // xhr.send(document); - 使用签名URL预览或者下载文件
您可以通过HTML中<a>标签的download属性、Web API中的window.open等方式使用获取的文件URL。
- 使用签名URL上传文件