前言

磁盘怎么又满了?赶紧 快 打电话给运维扩容扩容扩容!这个问题已经是我入职新公司两个月来,第 3 次听到了。经过一通了解,事情原来是这样的。虽然我们使用了阿里云的 OSS 对象存储服务,但是为了不暴露 AccessKeyId 以及 AccessKeySecret 给客户端,所以全部是由客户端上传到我们的服务器,由我们服务器中转上传,其实只要上传完成删除相应的文件应该就不会引发磁盘空间不足的问题,奈何之前的精神小伙并没有干这一步,文件放磁盘上当备份用。由此引发思考中转上传是不是太麻烦了,直传 OSS 不香吗? 如何保证 AccessKeyId 以及 AccessKeySecret 的安全以及 Bucket 权限问题呢?这就是下面要讲的阿里云 OSS 上的 Sts 授权模式。

STS 临时授权访问 OSS

OSS 可以通过阿里云 STS(Security Token Service)进行临时授权访问。通过 STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。

以上是官方原话,经过我的实践结合理论,可以得出:我们可以通过 STS 颁发一个临时的 AccessKeyId,AccessKeySecret,SecurityToken, 用户可以通过这3个访问凭证对 Oss 进行相应操作。在我们申请颁布访问凭证的时候,还可以设置对应的权限。

Coding

在使用下面测试前,请先完成 STS临时授权访问OSS 的配置

  • 安装 Nuget
dotnet add package aliyun-net-sdk-core

dotnet add package aliyun-net-sdk-sts

dotnet add package Aliyun.OSS.SDK.NetCore
  • 代码参考案例
class Program

    {

        static void Main(string[] args)

        {

            var bucketName = "<your bucket>";

            var accessKeyId = "<your accessKeyId>";

            var accessKeySecret = "<your accessKeySecret>";

            var endpoint = "<your endpint>";

            var region = "<your region>";

            var roleArn = "<your roleArn>"; // 通过阿里云RAM管理角色管理可以拿到

            var roleSessionName = "xxx"; // 随机指定一个即可

            var objectName = "test.txt";

            IClientProfile profile =

                DefaultProfile.GetProfile(region, accessKeyId, accessKeySecret);

            DefaultAcsClient client = new DefaultAcsClient(profile);

            AssumeRoleRequest request = new AssumeRoleRequest();

            request.AcceptFormat = FormatType.JSON;

            //指定角色ARN

            request.RoleArn = roleArn;

            request.RoleSessionName = roleSessionName;

            request.DurationSeconds = 3600;

            request.Policy = BuildPolicy(bucketName, "avatars"); // 配置对应的权限

            AssumeRoleResponse response = client.GetAcsResponse(request);

            Console.WriteLine("AccessKeyId: " + response.Credentials.AccessKeyId);

            Console.WriteLine("AccessKeySecret: " + response.Credentials.AccessKeySecret);

            Console.WriteLine("SecurityToken: " + response.Credentials.SecurityToken);

            Console.WriteLine("Expiration: " + DateTime.Parse(response.Credentials.Expiration).ToLocalTime());

            var ossClient = new OssClient(endpoint, response.Credentials.AccessKeyId,

                response.Credentials.AccessKeySecret,

                response.Credentials.SecurityToken);

            try

            {

                byte[] binaryData = Encoding.ASCII.GetBytes("test");

                MemoryStream requestContent = new MemoryStream(binaryData);

                // 上传文件。

                ossClient.PutObject(bucketName, $"{bucketName}/{objectName}", requestContent);

                Console.WriteLine("Put object succeeded");

            }

            catch (Exception ex)

            {

                Console.WriteLine("Put object failed, {0}", ex.Message);

            }

        }

        public static string BuildPolicy(string bucket, string dir)

        {

            return "{\n" +

                   "    \"Version\": \"1\", \n" +

                   "    \"Statement\": [\n" +

                   "        {\n" +

                   "            \"Action\": [\n" +

                   "                \"oss:PutObject\"\n" +

                   "            ], \n" +

                   "            \"Resource\": [\n" +

                   $"                \"acs:oss:*:*:{bucket}/{dir}/*\" \n" +

                   "            ], \n" +

                   "            \"Effect\": \"Allow\"\n" +

                   "        }\n" +

                   "    ]\n" +

                   "}";

        }

    }

可以修改 BuildPolicy 里面的 Json 动态配置,以上配置了客户端拿到访问凭据后,只能上传文件到指定目录,没有其他权限了。其次访问STS服务拿到的 AccessKeyIdAccessKeySecret 都是临时与我们阿里云RAM控制面板拿到的是不一样的。这样就无须担心我们 AccessKeyIdAccessKeySecret 泄露以及访问权限的问题。

End

服务端颁发授权凭证,客户端直传 OSS 应该是目前的最佳实践,后面再配合回调地址,可以更好的贴近实际场景。但是回调地址必须是公网可访问的,这里就没整了。直传 OSS 比之前中转节省时间,也不需要占用额外的服务器资源。

Sts 授权直传阿里云 OSS-.net core实现的更多相关文章

  1. 在OneThink(ThinkPHP3.2.3)中整合阿里云OSS的PHP-SDK2.0.4,实现Web端直传,服务端签名直传并设置上传回调的实现流程

    在OneThink(ThinkPHP3.2.3)中整合阿里云OSS的PHP-SDK2.0.4,实现本地文件上传流程 by shuijingwan · 2016/01/13 1.SDK安装 github ...

  2. 使用阿里云oss

    写这篇博文的原因是公司有个项目需要用到阿里云来存放用户头像文件.后期软件安装版本也可能需要存进去,然后折腾了两天终于摸熟了一点皮毛,在这里给大家简单介绍下. 一.初识对象存储oss 1.进入阿里云控制 ...

  3. angulaijs中的ng-upload-file与阿里云oss服务的结合,实现在浏览器端上传文件到阿里云(速度可以达到1.5M)

    2015-10-26 angularjs结合aliyun浏览器端oos文件上传加临时身份验证例子 在服务端获取sts 源码: public class StsServiceSample { // 目前 ...

  4. android 阿里云oss上传

    购买了阿里云的oss空间,于是用它来存储图片,不过中间的使用算是出了些问题,导致很长的才成功. 不得不说,阿里云文档真的是无力吐槽...乱七八糟的.我完全是东拼西凑,才完成的图片上传功能. 走了很多的 ...

  5. 备份MySQL数据库并上传到阿里云OSS存储

    1. 环境配置 要将本地文件上传到阿里云oss中, 必须使用阿里云提供的工具 ossutil, 有32位,也有64位的, Linux和Windows都有.具体可以到阿里云官网下载 官网及文档: htt ...

  6. 阿里云oss上传图片

    1.首先我们要下载阿里云oss的sdk包:(可以下载原版的,改过的通用版在本人的百度云,嘎嘎嘎~) 2.下载好之后放到项目文件目录里面 3.要在需要的控制器引用这个sdk文件例如: include(& ...

  7. ECStore图片存储采用阿里云OSS(图片存储)服务

    主要功能:ECStore图片存储采用阿里云OSS(图片存储)服务   适用版本:ECStore 授权方式:授权域名使用,付费插件 联系方式: QQ 275553385  mail: jimingson ...

  8. Thinkphp整合阿里云OSS图片上传实例

    Thinkphp3.2整合阿里云OSS图片上传实例,图片上传至OSS可减少服务器压力,节省宽带,安全又稳定,阿里云OSS对于做负载均衡非常方便,不用传到各个服务器了 首先引入阿里云OSS类库 < ...

  9. ThinkPHP 文件上传到阿里云OSS上(干货)

    参考:http://www.thinkphp.cn/extend/789.html 1.前往阿里云github下载SDK包:https://github.com/aliyun/aliyun-oss-p ...

随机推荐

  1. SQL运行内幕:从执行原理看调优的本质

    相信大家看过无数的MySQL调优经验贴了,会告诉你各种调优手段,如: 避免 select *: join字段走索引: 慎用in和not in,用exists取代in: 避免在where子句中对字段进行 ...

  2. ajax前后端交互原理(4)

    4.JSON 4.1 什么是JSON? JavaScript 对象表示法(JavaScript Object Notation)简称JSON,是一种轻量级的数据交换格式.虽然它基于JavaScript ...

  3. Centos7安装部署openstack--nova计算服务

    一.概述 使用OpenStack计算服务来托管和管理云计算系统.OpenStack计算服务是基础设施即服务(IaaS)系统的主要部分,模块主要由Python实现. OpenStack计算组件请求Ope ...

  4. 2020-06-30 pol实现execl导入导出

    1.导入依赖 <!-- 解析表格 --> <dependency> <groupId>org.apache.poi</groupId> <arti ...

  5. Mac安装文件已勾选“允许任何来源”,还是提示“文件已损坏”的解决方案

    Mac安装文件已勾选"允许任何来源",还是提示"文件已损坏"的解决方案 打开终端,在终端中粘贴下面命令:[sudo xattr -r -d com.apple. ...

  6. 【Oracle】如何让一个用户能够访问另外一个用户下所有的表

    根据需求的不同,也分为好几种方法,且看下文. 先构造基本的环境:创建两个用户AA,BB,基本需求为用户AA能够访问用户BB下所有的表,即用户AA有对BB下所有的表有"select on&qu ...

  7. IE6浏览器有哪些常见的bug,以及解决IE6常用bug的方法

    1.IE6不支持min-height,解决办法使用css hack: .target { min-height: 100px; height: auto !important; height: 100 ...

  8. html/css解决inline-block内联元素间隙的多种方法总汇

    序 display有几种属性:inline是内联对象,比如<a/> . <span/>标签等,可以“堆在一起”显示,宽高由内容决定,不能设置:block是块对象,比如<d ...

  9. 小烈送菜——奇怪的dp

    小烈送菜 题目描述 小烈一下碰碰车就被乐满地的工作人员抓住了.作为扰乱秩序的惩罚,小烈必须去乐满地里的"漓江村"饭店端盘子. 服务员的工作很繁忙.他们要上菜,同时要使顾客们尽量高兴 ...

  10. 协同合约HACKATHON 0X03;

    协同合约HACKATHON 0X03; 使用Fetch.AI技术开发一个共享行程协同合约.超过100,000个FET代币奖励. 介 绍 拼车是对你的钱包和环境都非常有益的,因此UberPool™等共享 ...