本文介绍如何使用STS以及签名URL临时授权访问OSS资源。

使用STS进行临时授权

OSS可以通过阿里云STS (Security Token Service) 进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。关于STS的更多信息,请参见STS介绍

STS的优势如下:

  • 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
  • 您无需关心权限撤销问题,访问令牌过期后自动失效。
说明 关于搭建STS服务的具体操作,请参见开发指南中的 使用STS临时访问凭证访问OSS。您可以通过调用STS服务的 AssumeRole接口或者使用 各语言STS SDK来获取临时访问凭证。临时访问凭证包括临时访问密钥(AccessKeyId和AccessKeySecret)和安全令牌(SecurityToken)。临时访问凭证有效时间单位为秒,最小值为900,最大值以当前角色设定的最大会话时间为准。更多信息,请参见 设置角色最大会话时间
以下代码用于客户端使用STS凭证构造签名请求。 
// 向您搭建的STS服务获取临时访问凭证。
fetch('http://your_sts_server/')
  .then(resp => resp.json())
  .then(result => {
    const store = new OSS({
      // 从STS服务获取的临时访问密钥(AccessKey ID和AccessKey Secret)。
      accessKeyId: result.AccessKeyId,
      accessKeySecret: result.AccessKeySecret,
      // 从STS服务获取的安全令牌(SecurityToken)。
      stsToken: result.SecurityToken,
      // 填写Bucket所在地域。以华东1(杭州)为例,设置region为oss-cn-hangzhou。
      region: 'oss-cn-hangzhou',
      // 填写Bucket名称,例如examplebucket。
      bucket: 'examplebucket'
    });
    // 生成签名URL。
    // 填写Object完整路径,例如ossdemo.txt。Object完整路径中不能包含Bucket名称。
    const url = store.signatureUrl('ossdemo.txt');
    console.log(url);
  })

使用签名URL进行临时授权

注意 如果要在前端使用带可选参数的签名URL,请确保在服务端生成该签名URL时设置的Content-Type与在前端使用时设置的Content-Type一致,否则可能出现SignatureDoesNotMatch错误。设置Content-Type的具体操作,请参见 如何设置Content-Type(MIME)?
  • 生成签名URL

    您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时,您可以通过指定URL的过期时间来限制访客的访问时长。签名URL的默认过期时间为1800秒,最大值为32400秒。

    • 生成对象签名URL
      说明 name {String}表示存放在OSS的Object名称,[expires] {Number}表示URL过期时间,默认值为1800秒。其他参数相关说明,请参见 Github
      以下代码用于生成对象签名URL。 
      const url = store.signatureUrl('ossdemo.txt');
console.log(url);
// --------------------------------------------------
const url = store.signatureUrl('ossdemo.txt', {
  expires: 3600,
  method: 'PUT'
});
console.log(url);

//  put object with signatureUrl
// -------------------------------------------------

const url = store.signatureUrl('ossdemo.txt', {
  expires: 3600,
  method: 'PUT',
  'Content-Type': 'text/plain; charset=UTF-8',
});
console.log(url);

// --------------------------------------------------
const url = store.signatureUrl('ossdemo.txt', {
  expires: 3600,
  response: {
    'content-type': 'text/custom',
    'content-disposition': 'attachment'
  }
});
console.log(url);

// put operation
    • 生成带有图片处理参数的签名URL 
      const url = store.signatureUrl('ossdemo.png', {
  process: 'image/resize,w_200'
});
console.log(url);
// --------------------------------------------------
const url = store.signatureUrl('ossdemo.png', {
  expires: 3600,
  process: 'image/resize,w_200'
});
console.log(url);
  • 使用签名URL

    生成签名URL后,您可以通过签名URL上传、预览或者下载文件。

    • 使用签名URL上传文件
      // signatureUrl填写生成的签名URL。
const url = 'signatureUrl'; 

var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);

xhr.onload = function () {
   // 请求结束后,在此处编写处理代码。
};

xhr.send(null);
// xhr.send('string');
// xhr.send(new Blob());
// xhr.send(new Int8Array());
// xhr.send({ form: 'data' });
// xhr.send(document);
    • 使用签名URL预览或者下载文件

      您可以通过HTML中<a>标签的download属性、Web API中的window.open等方式使用获取的文件URL。