iOS SDK提供了STS鉴权模式和自签名模式来保障移动终端的安全性。

背景信息

无论是STS鉴权模式还是自签名模式,您实现的回调函数都需要保证调用时的返回结果。如果您需要实现向业务Server获取Token、Signature的网络请求,建议调用网络库的同步接口。回调都是在SDK发起具体请求时,在请求的子线程中执行,所以不会阻塞主线程。

STS鉴权模式

说明 使用STS模式授权需要先开通阿里云访问控制RAM服务。

OSS可以通过阿里云STS (Security Token Service) 进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。关于STS的更多信息,请参见STS介绍

STS的优势如下:

  • 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
  • 您无需关心权限撤销问题,访问令牌过期后自动失效。
  • 设置StsToken

    您可以在App中,预先通过某种方式(如通过网络请求从您的业务Server上)获取StsToken,然后用StsToken初始化SDK。通过这种方式获取StsToken时需要注意StsToken的过期时间,并在StsToken即将过期时手动更新StsToken到SDK中。

    初始化SDK示例代码如下:
    说明 如果您需要使用OSSAuthCredentialProvider初始化SDK,请参见 初始化
    id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"];
client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];

    当判断StsToken即将过期时,您可以重新构造OSSClient,也可以通过如下方式更新CredentialProvider:

    id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"];
client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];
  • 实现获取StsToken回调

    如果您期望SDK自动更新StsToken,那么您需要在SDK的应用中实现回调。通过您实现回调的方式去获取Federation Token(即StsToken),SDK会使用此StsToken来进行加签处理,并在需要更新时主动调用此回调来获取StsToken:

    id<OSSCredentialProvider> credential = [[OSSFederationCredentialProvider alloc] initWithFederationTokenGetter:^OSSFederationToken * {
    // 您需要在此处实现获取一个FederationToken,并构造成OSSFederationToken对象返回。
    // 如果由于某种原因获取失败,直接返回nil。
      OSSFederationToken * token;
    // 从您的服务器中获取token。
    ...
    return token;
}];
client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];
    说明 此外,如果您已经通过别的方式获取了StsToken所需的各个字段,也可以在回调中直接返回StsToken。但您需要手动处理StsToken的更新,且更新后重新设置该OSSClient实例的OSSCredentialProvider。

    使用示例:

    假设您搭建的server地址为http://localhost:8080/distribute-token.json,并且要访问该地址,则返回数据的格式如下:

    {
    "StatusCode": 200,
    "AccessKeyId":"STS.iA645eTOXEqP3cg3****",
    "AccessKeySecret":"rV3VQrpFQ4BsyHSAvi5NVLpPIVffDJv4LojU****",
    "Expiration":"2015-11-03T09:52:59Z",
    "SecurityToken":"CAES7QIIARKAAZPlqaN9ILiQZPS+JDkS/GSZN45RLx4YS/p3OgaUC+oJl3XSlbJ7StKpQ****"
}

    实现OSSFederationCredentialProvider的示例如下: 

    id<OSSCredentialProvider> credential2 = [[OSSFederationCredentialProvider alloc] initWithFederationTokenGetter:^OSSFederationToken * {
    // 构造请求访问您的业务Server。
    NSURL * url = [NSURL URLWithString:@"http://localhost:8080/distribute-token.json"];
    NSURLRequest * request = [NSURLRequest requestWithURL:url];
    OSSTaskCompletionSource * tcs = [OSSTaskCompletionSource taskCompletionSource];
    NSURLSession * session = [NSURLSession sharedSession];
    // 发送请求。
    NSURLSessionTask * sessionTask = [session dataTaskWithRequest:request
                                                completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) {
                                                    if (error) {
                                                        [tcs setError:error];
                                                        return;
                                                    }
                                                    [tcs setResult:data];
                                                }];
    [sessionTask resume];
    // 需要阻塞等待请求返回。
    [tcs.task waitUntilFinished];
    // 解析结果。
    if (tcs.task.error) {
        NSLog(@"get token error: %@", tcs.task.error);
        return nil;
    } else {
        // 返回数据为JSON格式,需要解析返回数据得到token的各个字段。
        NSDictionary * object = [NSJSONSerialization JSONObjectWithData:tcs.task.result
                                                                options:kNilOptions
                                                                  error:nil];
        OSSFederationToken * token = [OSSFederationToken new];
        token.tAccessKey = [object objectForKey:@"AccessKeyId"];
        token.tSecretKey = [object objectForKey:@"AccessKeySecret"];
        token.tToken = [object objectForKey:@"SecurityToken"];
        token.expirationTimeInGMTFormat = [object objectForKey:@"Expiration"];
        NSLog(@"get token: %@", token);
        return token;
    }
}];

自签名模式

您可以把AccessKey ID和AccessKey Secret保存在自有服务器中后,通过自有服务器对客户端信息进行签名。具体步骤如下:
  1. 在客户端获取并发送待签名的字符串到自有服务器。
    1. 构造请求时通过SDK中OSSCustomSignerCredentialProvider的signContent方法获取待签名的字符串。
    2. 发送待签名的字符串到自有服务器。
  2. 在自有服务器进行签名并返回签名后的字符串到客户端。
    1. 按照OSS规定的签名算法对待签名字符串进行签名。有关签名算法的更多信息,请参见在Header中包含签名

      签名算法的格式为signature = "OSS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content)),其中content是已根据请求参数拼接后的字符串。示例代码如下: 

      id<OSSCredentialProvider> credential = [[OSSCustomSignerCredentialProvider alloc] initWithImplementedSigner:^NSString *(NSString *contentToSign, NSError *__autoreleasing *error) {
    // 按照OSS规定的签名算法加签字符串,并将得到的加签字符串拼接AccessKeyId后返回。
    // 将加签的字符串传给您的服务器,然后返回签名。
    // 如果因某种原因加签失败,服务器描述错误信息后返回nil。
NSString *signature = [OSSUtil calBase64Sha1WithData:contentToSign withSecret:@"<your accessKeySecret>"]; // 此处为用SDK内的工具函数进行本地加签,建议您通过业务server实现远程加签。
    if (signature != nil) {
        *error = nil;
    } else {
        *error = [NSError errorWithDomain:@"<your domain>" code:-1001 userInfo:@"<your error info>"];
        return nil;
    }
    return [NSString stringWithFormat:@"OSS %@:%@", @"<your accessKeyId>", signature];
}];

client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];
    2. 返回签名后的字符串给客户端。
  3. 在客户端发送签名后的字符串到OSS服务器进行鉴权。