设置EndPoint和凭证

移动终端是一个不受信任的环境,把AccessKeyIdAccessKeySecret直接保存在终端用来加签请求,存在极高的风险。建议只在测试时使用明文设置模式,业务应用推荐使用STS鉴权模式自签名模式,详细请参考:访问控制移动端直传

如果用STS鉴权模式,推荐使用OSSAuthCredentialProvider方式直接访问鉴权应用服务器,token过期后可以自动更新。

更多信息可查看可查看sample 点击查看

设置EndPoint和CredentialProvider示例如下:

  1. NSString *endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
  3. //直接访问鉴权服务器(推荐,token过期后可以自动更新)
  4. id<OSSCredentialProvider> credential = [[OSSAuthCredentialProvider alloc] initWithAuthServerUrl:@"鉴权服务器地址,例如http://abc.com"];
  5. client = [[OSSClient alloc] initWithEndpoint:endPoint credentialProvider:credential];

提示:

初始化_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32057.html

访问控制_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32059.html

使用STS详细步骤

  1. App用户登录。

    App用户由您自己管理。您可以自定义身份管理系统,也可以使用外部Web账号或OpenID。对于每个有效的App用户来说,AppServer是可以确切地定义出每个App用户的最小访问权限。

  2. AppServer请求STS服务获取一个安全令牌(SecurityToken)。

    1. 在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。

    2. 通过调用STS的AssumeRole(扮演角色)接口来获取安全令牌。角色管理与使用相关内容请参考RAM使用指南中的角色管理。

  3. STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。

  4. AppServer将访问凭证返回给ClientApp。

    ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。

  5. ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,并正确响应用户请求。

注意:使用这种模式授权需要先开通阿里云RAM服务:单击查看

import json

from flask import Flask, jsonify, abort, make_response, request

import time

from aliyunsdkcore import client

from aliyunsdksts.request.v20150401 import AssumeRoleRequest

def getSts(uid):

    # 通过管理控制后台-访问控制 https://help.aliyun.com/product/28625.html

    # RAM控制台 https://ram.console.aliyun.com/

    # STS授权相关信息获取步骤:

    # 1.RAM控制台用户管理创建子用户(User)同时点击该用户创建并获取AccessKeyID和AccessKeySecret https://help.aliyun.com/document_detail/28637.html

    # 2.对该子用户(User) 授予AliyunSTSAssumeRoleAccess策略(必须),如需自定义策略请看 https://help.aliyun.com/document_detail/28640.html

    # 3.RAM控制台角色管理创建角色role,进行自定义授权设置(控制操作的内容),获取Arn https://help.aliyun.com/document_detail/28649.html

    # 注意点:

    # 只有子用户(User)才能调用 AssumeRole 接口

    # 阿里云主用户(Root User)的AccessKeys不能用于发起AssumeRole请求

    # python sdk说明

    # 构建一个 Aliyun Client, 用于发起请求

    # 构建Aliyun Client时需要设置AccessKeyId和AccessKeySevcret

    # STS是Global Service, API入口位于华东 1 (杭州) , 这里Region填写"cn-hangzhou"

    # clt = client.AcsClient('<access-key-id>','<access-key-secret>','cn-hangzhou')

    AccessKeyID = "************************"

    AccessKeySecret = "************************"

    roleArn = "************************"

    '''

    root

   accessKeyId = '1'

accessKeySecret = '2'

   '''

    '''

    //AccessKey详情

    AccessKeyID:

    1

    AccessKeySecret:

    2

    '''

    kid, ks = '1', '2'

    AccessKeyID, AccessKeySecret = kid, ks

    roleArn = 'acs:ram::3:role/aliyunosstokengeneratorrole'

    clt = client.AcsClient(AccessKeyID, AccessKeySecret, 'cn-hangzhou')

    # 构造"AssumeRole"请求

    request___ = AssumeRoleRequest.AssumeRoleRequest()

    # 指定角色 需要在 RAM 控制台上获取

    request___.set_RoleArn(roleArn)

    # RoleSessionName 是临时Token的会话名称,自己指定用于标识你的用户,主要用于审计,或者用于区分Token颁发给谁

    # 但是注意RoleSessionName的长度和规则,不要有空格,只能有'-' '.' '@' 字母和数字等字符

    # 具体规则请参考API文档中的格式要求

    '''

    #AssumeRole_操作接口_API 参考(STS)_访问控制-阿里云 https://help.aliyun.com/document_detail/28763.html

    RoleSessionName

    类型:String

    必须:是

    描述:用户自定义参数。此参数用来区分不同的Token,可用于用户级别的访问审计。

    格式:^[a-zA-Z0-9\.@\-_]+$ 2-32个字符

    '''

    request___.set_RoleSessionName(uid)

    # OSS Policy settings  could not set by default

    # can read https://help.aliyun.com/document_detail/56288.html

    # case https://help.aliyun.com/knowledge_detail/39717.html?spm=5176.product28625.6.735.5etPTf

    # case https://help.aliyun.com/knowledge_detail/39712.html?spm=5176.7739717.6.729.aZiRgD

    # 发起请求,并得到response

    try:

        response = clt.do_action_with_exception(request___)

        ## { "ErrorDump": "the JSON object must be str, not 'bytes'", "StatusCode": "500" }

        #        text = json.loads(response) win ok  linux  + .decode('utf-8')  加后 win 依然ok

        text = json.loads(response.decode('utf-8'))

        stsDict = dict().fromkeys(

            ['RequestId', 'uid', 'Expiration', 'AccessKeyId', 'AccessKeySecret', 'SecurityToken', 'StatusCode'])

        stsDict["RequestId"] = text["RequestId"]

        stsDict["uid"] = uid

        stsDict['Expiration'] = text["Credentials"]['Expiration']

        stsDict["AccessKeyId"] = text["Credentials"]["AccessKeyId"]

        stsDict["AccessKeySecret"] = text["Credentials"]["AccessKeySecret"]

        stsDict['SecurityToken'] = text["Credentials"]['SecurityToken']

        stsDict["StatusCode"] = "200"

        # stsText = json.dumps(stsDict)

        print('-----------》')

        print(stsDict)

        print('《-----------')

        return stsDict

    except Exception as e:

        print(e)

        # errorDict = dict().fromkeys(['StatusCode', 'ErrorCode', 'ErrorMessage'])

        errorDict = dict().fromkeys(['StatusCode', 'ErrorDump'])

        errorDict["StatusCode"] = "500"

        # errorDict["ErrorMessage"] = e.message

        # errorDict["ErrorCode"] = e.error_code

        errorDict["ErrorDump"] = '{}'.format(e)

        # stsText = json.dumps(errorDict)

        return errorDict

    # return stsText

    pass

aliBridge = Flask(__name__)

aliBridge.config['JSON_AS_ASCII'] = False

@aliBridge.route('/v1.0/aliBridge/aliyunosstokengenerator', methods=['POST'])

def aliyunosstokengeneratorrole():

    if not request.json:

        abort(400)

    chk_k = ['ipv4', 'imei', 'kid', 'ks']

    ipv4, imei, kid, ks = request.json['ipv4'], request.json['imei'], request.json['kid'], request.json['ks']

    #    ipv4, imei, kid, ks = request.json[0:4]

    uid = 'ipv4@{}@imei@{}'.format(ipv4, imei)

    uid = '{}@{}'.format(ipv4, imei)

    # uid ='ipv4__123__imei_123',

    if (kid, ks) != ('ourServerKeyId', 'ourServerKeyValue'):

        abort(400)

    for c in chk_k:

        if c not in request.json:

            abort(400)

    # task = {

    #     'uid': request.json['uid'],

    #     # 'uid': request,

    #     'no_open': 12,

    #     'no_ad': 34,

    #     'description': '该uid在ad_direct_order中共计123条当前未失效,其中12条打不开相应页面,34条页面中没有我司广告位',

    #     'cost_time': 123,

    #     'request_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time() - 123)),

    #     'current_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time()))

    # }

    # return jsonify({'status': '1', 'info': task}), 201

    task = getSts(uid)

    return jsonify(task), 201

'''

{

"ipv4":"197.164.165.154","imei":"123456789012347","kid":"ourServerKeyId","ks":"ourServerKeyValue"

}

'''

if __name__ == '__main__':

    aliBridge.run(host='0.0.0.0', port=5001, debug=True)

  

鉴权应用服务器 app客户端 web服务端 安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)的更多相关文章

  1. spring-oauth-server实践:客户端和服务端环境搭建

    客户端:http://localhost:8080/spring-oauth-client/index.jsp 服务端:http://localhost:8080/spring-oauth-serve ...

  2. IOS开发系列之阿堂教程:玩转IPhone客户端和Web服务端交互(客户端)实践

    说到ios的应用开发,我们不能不提到web server服务端,如果没有服务端的支持,ios应用开发就没有多大意义了,因为从事过手机开发的朋友都知道(Android也一样),大量复杂业务的处理和数据库 ...

  3. winform客户端利用webClient实现与Web服务端的数据传输

    由于项目需要,最近研究了下WebClient的数据传输.关于WebClient介绍网上有很多详细介绍,大概就是利用WebClient可以实现对Internet资源的访问.无外乎客户端发送请求,服务端处 ...

  4. SignalR 实现web浏览器客户端与服务端的推送功能

    SignalR 是一个集成的客户端与服务器库,基于浏览器的客户端和基于 ASP.NET 的服务器组件可以借助它来进行双向多步对话. 换句话说,该对话可不受限制地进行单个无状态请求/响应数据交换:它将继 ...

  5. Delphi XE5通过WebService开发Web服务端和手机客户端

    Delphi XE5通过WebService开发Web服务端和手机客户端介绍 我们开发一个三层的android程序 建立一个webservices  stand-alone vcl applicati ...

  6. TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况

    TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况 请访问原文链接:https://sysin.org/blog/tlsv1-3-support/,查看最新版. ...

  7. Android客户端与服务端交互之登陆示例

    Android客户端与服务端交互之登陆示例 今天了解了一下android客户端与服务端是怎样交互的,发现其实跟web有点类似吧,然后网上找了大神的登陆示例,是基于IntentService的 1.后台 ...

  8. Web服务端性能提升实践

    随着互联网的不断发展,日常生活中越来越多的需求通过网络来实现,从衣食住行到金融教育,从口袋到身份,人们无时无刻不依赖着网络,而且越来越多的人通过网络来完成自己的需求. 作为直接面对来自客户请求的Web ...

  9. 在HTTP通讯过程中,是客户端还是服务端主动断开连接?

    比如说:IE访问IIS,获取文件,肯定是要建立一个连接,这个连接在完成通讯后,是客户端Close了连接,还是服务端Close了连接.我用程序测模拟IE和IIS,都没有收到断开连接的消息,也就是都没有触 ...

随机推荐

  1. CSRF verification failed. Request aborted. 表单提交方法为POST时的报错

    本人所用Django版本为1.11,在设置请求方法为POST时,遇到标题中的错误,尝试了多种方法,最终通过下面的操作来修复: 在template文件中添加图中红框部分 接着,导入csrf_exempt ...

  2. 算法导论 第一章and第二章(python)

    算法导论 第一章 算法     输入--(算法)-->输出   解决的问题     识别DNA(排序,最长公共子序列,) # 确定一部分用法     互联网快速访问索引     电子商务(数值算 ...

  3. CSS知识点之字体大小属性font-size

    管理文本的大小在 web 设计领域很重要.但是,不应当通过调整文本大小使段落看上去像标题,或者使标题看上去像段落.请始终使用正确的 HTML 标题,比如使用 <h1> - <h6&g ...

  4. zoj 2724 Windows Message Queue

    Windows Message Queue Time Limit: 2 Seconds      Memory Limit: 65536 KB Message queue is the basic f ...

  5. HDU-1232/NYOJ-608畅通工程,并查集模板题,,水过~~~

    畅通工程 Time Limit: 4000/2000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others) http://acm. ...

  6. Linux 修改主机名

    1 vi /etc/sysconfig/network 2 vi /etc/hosts 3 hostname xxx 4 Done! 退出重连后生效

  7. hdu 1501 基本搜索深搜

    #include<stdio.h> #include<string.h> char s1[300],s2[300],s[500]; int len1,len2,len3,fla ...

  8. 进程&进程池

    进程 服务器中, s.listen(n) n不能无限大,以为内存不可能无限大,n表示内存同一时间接纳的等待连接数,可以看成一个(队列),取出一个拿去建立连接,然后再放进一个,队列中一直保持n个连接 请 ...

  9. 最近公共祖先(Least Common Ancestors)

    题意: 给定一棵有根树T,给出若干个查询lca(u, v)(通常查询数量较大),每次求树T中两个顶点u和v的最近公共祖先,即找一个节点,同时是u和v的祖先,并且深度尽可能大(尽可能远离树根).通常有以 ...

  10. Java学习--反码 原码 补码简析

    关于课上实验中对小数的处理中出现的问题涉及到原码,反码,补码的问题,所以在网上进行了一下搜索.在原码,反码,补码中的解释可得知,无论是哪一种码,能够表示的数的范围是-2^(位数-1)+1至2^(位数- ...