前言

最近在做跟oss上传相关的一些东西,一开始方案是前端直接上传,oss的key,secret都由前端自己配置。但是这样会存在一些安全问题,如果这个账号的账密被泄露了,权限没有做控制的话。不法分子就可以对我们的
oss上的文件进行各种操作,删除啊,下载之类的。

既然有这种安全问题,咱们肯定是要解决的。经过查看官方文档知道,阿里云oss支持使用临时token的方式,前端或者说上传者只要拿到了这个token就可以行使响应的权利,而且这个token是有对应的权限可以控制的,并且因为是临时的嘛,是有过期时间的。即使泄露了呢,咱们权限的控制也可以做到,他只能上传,不能进行其他操作,竟然有这么方便的操作?那咱们接下来看看吧。

不重要的闲扯

我:闲扯几句别的,其实官方文档已经比较丰富了,为啥我还要写一篇博客呢?

旁白:混博客,涨人气?

我:额,不是。因为我在看完官方文档后头有点大,文档很丰富,而且有些demo的代码运行之后并没有跑起来。根据web端,移动端还区分了好些内容,真的是要研究一番才看明白STS到底是怎么一回事,怎么使用。所以特意专门就写STS这一个点,让之后需要使用这个功能的开发朋友们有个比较清晰的理解。就不用看那么久的文档,花那么多时间理解。

旁白:这么说来你还做了一点贡献?

我: 您说是就是吧 手动狗头

Android 临时授权读写 不同手机_Android 临时授权读写 不同手机

STS的流程

oss文档中STS的流程:

Android 临时授权读写 不同手机_Android 临时授权读写 不同手机_02

STS(Security Token Service)进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。

首先假设读者没有看过oss的文档,只知道有临时token这么个东西。oss那边配置token其实还挺麻烦,首先会涉及到三个东东

用户:
一般会创建一个子账户来充当用户,因为主账户权限太大。而且假如说是一堆人一起使用同一个账号也很不方便,用着用着别人就把你挤下来了

权限:
对于用户或者角色,他可以进行什么操作。对于oss来说就是上传文件,删除文件,读取文件这些,oss有专门的命名类似这样:oss:PutObject(这就代表的是上传文件的权限)如果你想看具体有哪些权限,或者怎么配置可以参考 :基于RAM Policy的权限控制的链接

RAM:
这个是resource access manager,翻译为资源访问管理。咱们其实可以为角色,角色应该还是比较好理解吧,就是某个角色会有相应的职能。比如说医生,是负责治病的。咱们这里比如定义一个putFileRole,它拥有着上传的权限。

这三者的关系就是:用户扮演某个角色,角色拥有着某些权限,用户也有着一些权限,使用token的时候,咱们就把用户的信息(key,secret)和用户要扮演的角色信息(arn)传给阿里云的服务器,服务器就会返回token。

具体操作流程

1.首先,我们得创建一个用户,并赋予他STS的权限。

旁白:毕竟是要使用token那用户首先得有使用token的能力

Android 临时授权读写 不同手机_阿里云_03

2.然后我们需要创建权限,这个权限之后会赋予给角色

Android 临时授权读写 不同手机_阿里云_04

3.最后我们要将权限赋给角色

Android 临时授权读写 不同手机_Android 临时授权读写 不同手机_05

public Map<String, String> getToken() {
       String policy = "{\n" +
               "    \"Statement\": [\n" +
               "      {\n" +
               "        \"Action\": [\n" +
               "          \"oss:PutObject\"\n" +
               "        ],\n" +
               "        \"Effect\": \"Allow\",\n" +
               "        \"Resource\": [\"acs:oss:*:*:bucket-name/*\", \"acs:oss:*:*:bucket-name\"]\n" +
               "      }\n" +
               "    ],\n" +
               "    \"Version\": \"1\"\n" +
               "  }";
       Map<String, String> resultMap = Maps.newHashMap();
       try {
           // 添加endpoint(直接使用STS endpoint,前两个参数留空,无需添加region ID)
           // DefaultProfile.addEndpoint("", "cn-hangzhou", "Sts", endpoint);

           // 构造default profile(参数留空,无需添加region ID)
           IClientProfile profile = DefaultProfile.getProfile("cn-hangzhou", ACCESS_KEY_ID, ACCESS_KEY_SECRET);
           // 用profile构造client
           DefaultAcsClient client = new DefaultAcsClient(profile);
           final AssumeRoleRequest request = new AssumeRoleRequest();
           request.setMethod(MethodType.POST);
           request.setRoleArn(ROLE_ARN);
           request.setRoleSessionName(SESSION_NAME);
           // 若policy为空,则用户将获得该角色下所有权限
           request.setPolicy(policy);
           // 设置凭证有效时间 单位秒  15分钟到1小时
           request.setDurationSeconds(3600L);

           final AssumeRoleResponse response = client.getAcsResponse(request);
           resultMap.put("expiration", response.getCredentials().getExpiration());
           resultMap.put("accessKeyId", response.getCredentials().getAccessKeyId());
           resultMap.put("accessKeySecret", response.getCredentials().getAccessKeySecret());
           resultMap.put("securityToken", response.getCredentials().getSecurityToken());
       } catch (Exception e) {
           log.info("上传异常:", e);
       }
       return resultMap;
   }

图中大写下划线的边量是类文件中要配置的参数

要注意的点:
1.有一个坑点要注意:官方文档中加了endpoint参数

// 添加endpoint(直接使用STS endpoint,前两个参数留空,无需添加region ID)
DefaultProfile.addEndpoint("", "cn-hangzhou", "Sts", endpoint);

这个我加上之后就报了一个异常

com.aliyuncs.exceptions.ClientException: SDK.ServerUnreachable : Speicified endpoint or uri is not valid.

所以如果你也出现了这个异常,记得去掉endpoint的配置。

2.代码中policy可以不要,这样就获取到的是角色的所有权限。如果设了policy的话,会取配置的policy权限和角色权限的交集。

3.duration这个要注意的一个点是返回的是UTC的时间,对于咱们东八区的观众需要加上8小时才是我们使用的时间。然后这个duration返回的是token过期的最终时间。只能设置15分钟到1小时,单位是秒。

4.使用token的时候如果权限给的不够,或者配置权限有问题
会出现如下错误:

You have no right to access this object because of bucket acl.

这时候记得去检查下角色权限和配置

5.附上github的代码地址:项目地址

6.权限可能报错的异常,可以从这个文档中找到相关的解答:问题处理链接