本文介绍如何使用STS以及签名URL临时授权访问OSS资源。
使用STS临时授权
OSS可以通过阿里云STS (Security Token Service) 进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。STS更详细的解释请参见STS介绍。
STS的优势如下:
- 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
- 您无需关心权限撤销问题,访问令牌过期后自动失效。
使用STS访问OSS的流程请参见开发指南中的STS临时授权访问OSS。
以下代码用于使用STS凭证构造签名请求:
1 2 3 4 5 6 7 8 9 | using Aliyun.OSS;var endpoint = "<yourEndpoint>";var accessKeyId = "<yourAccessKeyId>";var accessKeySecret = "<yourAccessKeySecret>";var securityToken = "<yourSecurityToken>";// 获取STS临时凭证后,您可以通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。// 创建OSSClient实例。var ossStsClient = new OssClient(endpoint, accessKeyId, accessKeySecret, securityToken);// 执行OSS相关操作。 |
说明 因STS临时账号以及签名URL均需设置有效时长,当您使用STS临时账号生成签名URL执行相关操作(例如上传、下载文件)时,以最小的有效时长为准。例如,您的STS临时账号的有效时长设置为1200s、签名URL设置为3600s时,当有效时长超过1200s后,您无法使用此STS临时账号生成的签名URL上传文件。
使用签名URL临时授权
您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时,您可以通过指定URL的过期时间来限制访客的访问时长。
使用签名URL进行临时授权的完整代码请参见GitHub。
以下介绍使用签名URL临时授权的常见示例。
- 使用签名URL上传文件
以下代码用于使用签名URL上传文件:
1234567891011121314151617181920212223242526272829303132333435using Aliyun.OSS;using Aliyun.OSS.Common;var endpoint ="<yourEndpoint>";var accessKeyId ="<yourAccessKeyId>";var accessKeySecret ="<yourAccessKeySecret>";var bucketName ="<yourBucketName>";var objectName ="<yourObjectName>";var objectContent ="More than just cloud.";// 创建OSSClient实例。var client =newOssClient(endpoint, accessKeyId, accessKeySecret);try{// 生成签名URL。var generatePresignedUriRequest =newGeneratePresignedUriRequest(bucketName, objectName, SignHttpMethod.Put){Expiration = DateTime.Now.AddHours(1),};var signedUrl = client.GeneratePresignedUri(generatePresignedUriRequest);// 使用签名URL上传文件。var buffer = Encoding.UTF8.GetBytes(objectContent);using (var ms =newMemoryStream(buffer)){client.PutObject(signedUrl, ms);}Console.WriteLine("Put object by signatrue succeeded. {0} ", signedUrl.ToString());}catch(OssException ex){Console.WriteLine("Failed with error code: {0}; Error info: {1}. \nRequestID:{2}\tHostID:{3}",ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);}catch(Exception ex){Console.WriteLine("Failed with error info: {0}", ex.Message);} - 使用签名URL下载文件
以下代码用于使用签名URL下载文件:
12345678910111213141516171819202122232425262728293031323334353637383940414243using Aliyun.OSS;using Aliyun.OSS.Common;var endpoint ="<yourEndpoint>";var accessKeyId ="<yourAccessKeyId>";var accessKeySecret ="<yourAccessKeySecret>";var bucketName ="<yourBucketName>";var objectName ="<yourObjectName>";var downloadFilename ="<yourDownloadFilename>";// 创建OSSClient实例。var client =newOssClient(endpoint, accessKeyId, accessKeySecret);try{var metadata = client.GetObjectMetadata(bucketName, objectName);var etag = metadata.ETag;// 生成签名URL。var req =newGeneratePresignedUriRequest(bucketName, objectName, SignHttpMethod.Get);var uri = client.GeneratePresignedUri(req);// 使用签名URL下载文件。OssObject ossObject = client.GetObject(uri);using (var file = File.Open(downloadFilename, FileMode.OpenOrCreate)){using (Stream stream = ossObject.Content){intlength =4*1024;var buf =newbyte[length];do{length = stream.Read(buf,0, length);file.Write(buf,0, length);}while(length !=0);}}Console.WriteLine("Get object by signatrue succeeded. {0} ", uri.ToString());}catch(OssException ex){Console.WriteLine("Failed with error code: {0}; Error info: {1}. \nRequestID:{2}\tHostID:{3}",ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);}catch(Exception ex){Console.WriteLine("Failed with error info: {0}", ex.Message);}
