本文介绍如何使用STS以及签名URL临时授权访问OSS资源。
使用STS临时授权
OSS可以通过阿里云STS (Security Token Service) 进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。关于STS的更多信息,请参见STS介绍。
STS的优势如下:
- 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
- 您无需关心权限撤销问题,访问令牌过期后自动失效。
说明 关于搭建STS服务的具体操作,请参见开发指南中的
使用STS临时访问凭证访问OSS。您可以通过调用STS服务的
AssumeRole接口或者使用
各语言STS SDK来获取临时访问凭证。临时访问凭证包括临时访问密钥(AccessKeyId和AccessKeySecret)和安全令牌(SecurityToken)。
以下代码用于使用STS凭证构造签名请求。
1 2 3 4 5 6 7 8 9 10 11 | import "github.com/aliyun/aliyun-oss-go-sdk/oss"// 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。// 创建OSSClient实例。client, err := oss.New("<var class="keyword varname" id="varname-op1-fsv-wp5">yourEndpoint</var>", "<var class="keyword varname" id="varname-kqg-qpj-rvf">yourAccessKeyId</var>", "<var class="keyword varname" id="varname-spd-nv2-3l1">yourAccessKeySecret</var>", oss.SecurityToken("<var class="keyword varname" id="varname-xnp-9a1-vbn">yourSecurityToken</var>"))if err != nil { fmt.Println("Error:", err) os.Exit(-1)// OSS操作。} |
使用签名URL临时授权
以下介绍使用签名URL临时授权的常见示例。使用签名URL进行临时授权的完整代码请参见GitHub。
说明 由于STS临时账号以及签名URL均需设置有效时长,当您使用STS临时账号生成签名URL执行相关操作(例如上传、下载文件)时,以最小的有效时长为准。例如您的STS临时账号的有效时长设置为1200秒、签名URL设置为3600秒时,当有效时长超过1200秒后,您无法使用此STS临时账号生成的签名URL上传文件。
- 生成签名URL
您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时,您可以通过指定URL的过期时间来限制访客的访问时长。
在URL中加入签名信息,以便将该URL转给第三方实现授权访问。具体操作,请参见在URL中包含签名。
- 使用签名URL上传文件
以下代码用于使用签名URL上传本地D:\\localpath路径下的examplefile.txt到目标存储空间examplebucket中exampledir目录下的exampleobject.txt文件。
注意 如果要在前端使用带可选参数的签名URL,请确保在服务端生成该签名URL时设置的ContentType与在前端使用时设置的ContentType一致。1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162packagemainimport("fmt""os""strings""github.com/aliyun/aliyun-oss-go-sdk/oss")func HandleError(err error) {fmt.Println("Error:", err)os.Exit(-1)}func main() {// 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。client, err := oss.New("<var class="keyword varname" id="varname-l2g-9rt-b7x">yourEndpoint</var>","<var class="keyword varname" id="varname-yhx-ker-dzm">yourAccessKeyId</var>","<var class="keyword varname" id="varname-vif-wtc-3hk">yourAccessKeySecret</var>", oss.SecurityToken("<var class="keyword varname" id="varname-z5q-try-zwx">yourSecurityToken</var>"))iferr != nil {HandleError(err)}// 填写Bucket名称,例如examplebucket。bucketName :="examplebucket"// 填写文件完整路径,例如exampledir/exampleobject.txt。文件完整路径中不能包含Bucket名称。objectName :="exampledir/exampleobject.txt"// 填写本地文件完整路径,例如D:\\localpath\\examplefile.txt,其中localpath为本地文件examplefile.txt所在本地路径。localFilename :="D:\\localpath\\examplefile.txt"// 获取存储空间。bucket, err := client.Bucket(bucketName)iferr != nil {HandleError(err)}// 签名直传。signedURL, err := bucket.SignURL(objectName, oss.HTTPPut,60)iferr != nil {HandleError(err)}var val ="上云就上阿里云"err = bucket.PutObjectWithURL(signedURL, strings.NewReader(val))iferr != nil {HandleError(err)}// 带可选参数的签名直传。请确保设置的ContentType值与在前端使用时设置的ContentType值一致。options := []oss.Option{oss.Meta("myprop","mypropval"),oss.ContentType("text/plain"),}signedURL, err = bucket.SignURL(objectName, oss.HTTPPut,60, options...)iferr != nil {HandleError(err)}err = bucket.PutObjectFromFileWithURL(signedURL, localFilename, options...)iferr != nil {HandleError(err)}}说明 关于签名URL中的可选参数的更多信息,请参见 文件元信息。 - 使用签名URL下载文件
以下代码用于下载目标存储空间examplebucket中exampledir目录下的exampleobject.txt到本地D:\\localpath路径下的examplefile.txt文件。
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657packagemainimport("fmt""os""io/ioutil""github.com/aliyun/aliyun-oss-go-sdk/oss")func HandleError(err error) {fmt.Println("Error:", err)os.Exit(-1)}func main() {// 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。client, err := oss.New("<var class="keyword varname" id="varname-lam-q4g-yfg">yourEndpoint</var>","<var class="keyword varname" id="varname-fbm-s2r-b8k">yourAccessKeyId</var>","<var class="keyword varname" id="varname-91v-uog-jag">yourAccessKeySecret</var>", oss.SecurityToken("<var class="keyword varname" id="varname-45c-iod-ev9">yourSecurityToken</var>"))iferr != nil {HandleError(err)}// 填写Bucket名称,例如examplebucket。bucketName :="examplebucket"// 填写文件完整路径,例如exampledir/exampleobject.txt。文件完整路径中不能包含Bucket名称。objectName :="exampledir/exampleobject.txt"// 下载OSS文件到本地文件,并保存到指定的本地路径中。如果指定的本地文件存在会覆盖,不存在则新建。// 如果未指定本地路径,则下载后的文件默认保存到示例程序所属项目对应本地路径中。localDownloadedFilename :="D:\\localpath\\examplefile.txt"// 获取存储空间。bucket, err := client.Bucket(bucketName)iferr != nil {HandleError(err)}// 使用签名URL将OSS文件下载到流。signedURL, err := bucket.SignURL(objectName, oss.HTTPGet,60)iferr != nil {HandleError(err)}body, err := bucket.GetObjectWithURL(signedURL)iferr != nil {HandleError(err)}// 读取内容。data, err := ioutil.ReadAll(body)body.Close()data = data// use data。// 使用签名URL将OSS文件下载到本地文件。err = bucket.GetObjectToFileWithURL(signedURL, localDownloadedFilename)iferr != nil {HandleError(err)}}
