本文介绍如何使用STS以及签名URL临时授权访问OSS资源。
重要 由于STS临时账号以及签名URL均需设置有效时长,当您使用STS临时账号生成签名URL执行相关操作(例如上传、下载文件)时,以最小的有效时长为准。例如您的STS临时账号的有效时长设置为1200秒、签名URL设置为3600秒时,当有效时长超过1200秒后,您无法使用此STS临时账号生成的签名URL上传文件。
注意事项
使用STS临时授权
OSS可以通过阿里云STS(Security Token Service)进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。关于STS的更多信息,请参见STS介绍。
STS的优势如下:
- 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
- 您无需关心权限撤销问题,访问令牌过期后自动失效。
通过STS临时授权访问OSS的步骤如下:
- 获取临时访问凭证
临时访问凭证包括临时访问密钥(AccessKey ID和AccessKey Secret)和安全令牌(SecurityToken)。临时访问凭证有效时间单位为秒,最小值为900,最大值以当前角色设定的最大会话时间为准。更多信息,请参见设置角色最大会话时间。
您可以通过以下两种方式获取临时访问凭证。
- 方式一
通过调用STS服务的AssumeRole接口获取临时访问凭证。
- 方式二
通过各语言STS SDK获取临时访问凭证。
- 方式一
- 使用STS临时授权访问OSS
- 使用STS临时授权上传文件
package main import ( "fmt" "github.com/aliyun/aliyun-oss-go-sdk/oss" "os" ) func main() { // 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。 client, err := oss.New("yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret", oss.SecurityToken("yourSecurityToken")) if err != nil { fmt.Println("Error:", err) os.Exit(-1) } // 填写Bucket名称,例如examplebucket。 bucketName := "examplebucket" // 填写Object的完整路径,完整路径中不能包含Bucket名称,例如exampledir/exampleobject.txt。 objectName := "exampledir/exampleobject.txt" // 填写本地文件的完整路径,例如D:\\localpath\\examplefile.txt。 filepath := "D:\\localpath\\examplefile.txt" bucket,err := client.Bucket(bucketName) // 通过STS授权第三方上传文件。 err = bucket.PutObjectFromFile(objectName,filepath) if err != nil { fmt.Println("Error:", err) os.Exit(-1) } fmt.Println("upload success") }
- 使用STS临时授权下载文件
package main import ( "fmt" "github.com/aliyun/aliyun-oss-go-sdk/oss" "os" ) func main() { // 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。 client, err := oss.New("yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret", oss.SecurityToken("yourSecurityToken")) if err != nil { fmt.Println("Error:", err) os.Exit(-1) } // 填写Bucket名称,例如examplebucket。 bucketName := "examplebucket" // 填写Object的完整路径,完整路径中不能包含Bucket名称,例如exampledir/exampleobject.txt。 objectName := "exampledir/exampleobject.txt" // 填写本地文件的完整路径,例如D:\\localpath\\examplefile.txt。 filepath := "D:\\localpath\\examplefile.txt" bucket,err := client.Bucket(bucketName) // 通过STS授权第三方下载文件。 err = bucket.GetObjectToFile(objectName,filepath) if err != nil { fmt.Println("Error:", err) os.Exit(-1) } fmt.Println("download success") }
- 使用STS临时授权上传文件
使用签名URL临时授权
您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时,您可以自定义URL的过期时间来限制访客的访问时长。
重要 通过以下示例生成的签名URL中如果包含特殊符号
+
,可能出现无法正常访问该签名URL的现象。如需正常访问该签名URL,请将签名URL中的+
替换为%2B
。以下介绍使用签名URL临时授权的常见示例。使用签名URL进行临时授权的完整代码请参见GitHub。
生成带VersionId的签名URL
以下代码用于生成带VersionId的签名URL。
package main
import (
"fmt"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
"os"
)
func main() {
// 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。
client, err := oss.New("yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret", oss.SecurityToken("yourSecurityToken"))
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 填写Bucket名称,例如examplebucket。
bucketName := "examplebucket"
// 填写Object的完整路径,完整路径中不能包含Bucket名称,例如exampledir/exampleobject.txt。
objectName := "exampledir/exampleobject.txt"
bucket,err := client.Bucket(bucketName)
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
// 填写Object的VersionId。
// 生成签名URL,并指定签名URL的有效时间为60秒。
signedURL, err := bucket.SignURL(objectName, oss.HTTPGet, 60,oss.VersionId("CAEQEhiBgIDmgPf8mxgiIDA1YjZlNDIxY2ZmMzQ1MmU5MTM1Y2M4Yzk4******"))
if err != nil {
fmt.Println("Error:", err)
os.Exit(-1)
}
fmt.Printf("Sign Url:%s\n", signedURL)
}
生成签名URL并通过签名URL上传文件
- 生成用于上传的签名URL
package main import ( "fmt" "os" "github.com/aliyun/aliyun-oss-go-sdk/oss" ) func HandleError(err error) { fmt.Println("Error:", err) os.Exit(-1) } func main() { // 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。 client, err := oss.New("yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret", oss.SecurityToken("yourSecurityToken")) if err != nil { HandleError(err) } // 填写Bucket名称,例如examplebucket。 bucketName := "examplebucket" // 填写文件完整路径,例如exampledir/exampleobject.txt。文件完整路径中不能包含Bucket名称。 objectName := "exampledir/exampleobject.txt" bucket, err := client.Bucket(bucketName) if err != nil { HandleError(err) } // 生成用于上传的签名URL,并指定签名URL的有效时间为60秒。 signedURL, err := bucket.SignURL(objectName, oss.HTTPPut, 60) if err != nil { HandleError(err) } // 如果要在前端使用带可选参数的签名URL,请确保在服务端生成该签名URL时设置的ContentType与在前端使用时设置的ContentType一致。 options := []oss.Option{ oss.Meta("myprop", "mypropval"), oss.ContentType("text/plain"), } signedURL, err = bucket.SignURL(objectName, oss.HTTPPut, 60, options...) if err != nil { HandleError(err) } fmt.Printf("Sign Url:%s\n", signedURL) }
- 通过签名URL上传文件
您可以参考移动端Android SDK通过签名URL上传文件。更多信息,请参见通过签名URL上传文件。
生成签名URL并通过签名URL下载文件
- 生成用于下载的签名URL
package main import ( "fmt" "github.com/aliyun/aliyun-oss-go-sdk/oss" "os" ) func HandleError(err error) { fmt.Println("Error:", err) os.Exit(-1) } func main() { // 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。 client, err := oss.New("yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret", oss.SecurityToken("yourSecurityToken")) if err != nil { HandleError(err) } // 填写Bucket名称,例如examplebucket。 bucketName := "examplebucket" // 填写文件完整路径,例如exampledir/exampleobject.txt。文件完整路径中不能包含Bucket名称。 objectName := "exampledir/exampleobject.txt" // 将Object下载到本地文件,并保存到指定的本地路径中。如果指定的本地文件存在会覆盖,不存在则新建。 bucket, err := client.Bucket(bucketName) if err != nil { HandleError(err) } // 生成用于下载的签名URL,并指定签名URL的有效时间为60秒。 signedURL, err := bucket.SignURL(objectName, oss.HTTPGet, 60) if err != nil { HandleError(err) } fmt.Printf("Sign Url:%s\n", signedURL) }
- 通过签名URL下载文件
您可以参考移动端Android SDK通过签名URL下载文件。更多信息,请参见通过签名URL下载文件。