oos的授权访问

授权访问

更新时间：2022-02-16 17:05

产品详情

相关技术圈

我的收藏

本文介绍如何使用STS以及签名URL临时授权访问OSS资源。

使用STS临时授权

OSS可以通过阿里云STS（Security Token Service）进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS，您可以为第三方应用或子用户（即用户身份由您自己管理的用户）颁发一个自定义时效和权限的访问凭证。关于STS的更多信息，请参见STS介绍。

STS的优势如下：

• 您无需透露您的长期密钥（AccessKey）给第三方应用，只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
• 您无需关心权限撤销问题，访问令牌过期后自动失效。

 

说明 关于搭建STS服务的具体操作，请参见开发指南中的使用STS临时访问凭证访问OSS。您可以通过调用STS服务的AssumeRole接口或者使用各语言STS SDK来获取临时访问凭证。临时访问凭证包括临时访问密钥（AccessKeyId和AccessKeySecret）和安全令牌（SecurityToken）。临时访问凭证有效时间单位为秒，最小值为900，最大值以当前角色设定的最大会话时间为准。更多信息，请参见设置角色最大会话时间。

以下代码用于使用STS凭证构造签名请求。

 

using Aliyun.OSS;
// yourEndpoint填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
var endpoint = "<yourEndpoint>";
// 从STS服务获取的临时访问密钥（AccessKey ID和AccessKey Secret）。
var accessKeyId = "yourAccessKeyId";
var accessKeySecret = "yourAccessKeySecret";
// 从STS服务获取的安全令牌（SecurityToken）。
var securityToken = "yourSecurityToken";
// 获取STS临时凭证后，您可以通过其中的安全令牌（SecurityToken）和临时访问密钥（AccessKeyId和AccessKeySecret）生成OSSClient。
// 创建OSSClient实例。
var ossStsClient = new OssClient(endpoint, accessKeyId, accessKeySecret, securityToken);
// 执行OSS相关操作。

使用签名URL临时授权

您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时，您可以通过指定URL的过期时间来限制访客的访问时长。签名URL的默认过期时间为3600秒，最大值为32400秒。

 

注意 由于STS临时账号以及签名URL均需设置有效时长，当您使用STS临时账号生成签名URL执行相关操作（例如上传、下载文件）时，以最小的有效时长为准。例如您的STS临时账号的有效时长设置为1200秒、签名URL设置为3600秒时，当有效时长超过1200秒后，您无法使用此STS临时账号生成的签名URL上传文件。

使用签名URL进行临时授权的完整代码请参见GitHub。

以下介绍使用签名URL临时授权的常见示例。

• 使用签名URL上传文件

  以下代码用于使用签名URL上传文件：

   

  using Aliyun.OSS;
  using Aliyun.OSS.Common;
  // 填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
  var endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
  // 阿里云账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM用户进行API访问或日常运维，请登录RAM控制台创建RAM用户。
  var accessKeyId = "yourAccessKeyId";
  var accessKeySecret = "yourAccessKeySecret";
  // 填写Bucket名称，例如examplebucket。
  var bucketName = "examplebucket";
  // 填写Object完整路径，完整路径中不包含Bucket名称，例如exampledir/exampleobject.txt。
  var objectName = "exampledir/exampleobject.txt";
  var objectContent = "More than just cloud.";
  // 创建OSSClient实例。
  var client = new OssClient(endpoint, accessKeyId, accessKeySecret);
  try
  {
      // 生成签名URL。
      var generatePresignedUriRequest = new GeneratePresignedUriRequest(bucketName, objectName, SignHttpMethod.Put)
      {
          // 设置签名URL过期时间，默认值为3600秒。
          Expiration = DateTime.Now.AddHours(1),
      };
      var signedUrl = client.GeneratePresignedUri(generatePresignedUriRequest);
      // 使用签名URL上传文件。
      var buffer = Encoding.UTF8.GetBytes(objectContent);
      using (var ms = new MemoryStream(buffer))
      {
          client.PutObject(signedUrl, ms);
      }
      Console.WriteLine("Put object by signatrue succeeded. {0} ", signedUrl.ToString());
  }
  catch (OssException ex)
  {
      Console.WriteLine("Failed with error code: {0}; Error info: {1}. \nRequestID:{2}\tHostID:{3}",
          ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);
  }
  catch (Exception ex)
  {
      Console.WriteLine("Failed with error info: {0}", ex.Message);
  }

• 使用签名URL下载文件

  以下代码用于使用签名URL下载文件：

   

  using Aliyun.OSS;
  using Aliyun.OSS.Common;
  // 填写Bucket所在地域对应的Endpoint。以华东1（杭州）为例，Endpoint填写为https://oss-cn-hangzhou.aliyuncs.com。
  var endpoint = "https://oss-cn-hangzhou.aliyuncs.com";
  // 阿里云账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM用户进行API访问或日常运维，请登录RAM控制台创建RAM用户。
  var accessKeyId = "yourAccessKeyId";
  var accessKeySecret = "yourAccessKeySecret";
  // 填写Bucket名称，例如examplebucket。
  var bucketName = "examplebucket";
  // 填写Object完整路径，完整路径中不包含Bucket名称，例如exampledir/exampleobject.txt。
  var objectName = "exampledir/exampleobject.txt";
  // 填写Object下载到本地文件的完整路径。例如D:\\localpath\\examplefile.txt。如果指定的本地文件存在会覆盖，不存在则新建。
  var downloadFilename = "D:\\localpath\\examplefile.txt";
  // 创建OSSClient实例。
  var client = new OssClient(endpoint, accessKeyId, accessKeySecret);
  try
  {
      var metadata = client.GetObjectMetadata(bucketName, objectName);
      var etag = metadata.ETag;
      // 生成签名URL。
      var req = new GeneratePresignedUriRequest(bucketName, objectName, SignHttpMethod.Get)
        {
          // 设置签名URL过期时间，默认值为3600秒。
          Expiration = DateTime.Now.AddHours(1),
      };
      var uri = client.GeneratePresignedUri(req);
      // 使用签名URL下载文件。
      OssObject ossObject = client.GetObject(uri);
      using (var file = File.Open(downloadFilename, FileMode.OpenOrCreate))
      {
          using (Stream stream = ossObject.Content)
          {
              int length = 4 * 1024;
              var buf = new byte[length];
              do
              {
                  length = stream.Read(buf, 0, length);
                  file.Write(buf, 0, length);
              } while (length != 0);
          }
      }
      Console.WriteLine("Get object by signatrue succeeded. {0} ", uri.ToString());
  }
  catch (OssException ex)
  {
      Console.WriteLine("Failed with error code: {0}; Error info: {1}. \nRequestID:{2}\tHostID:{3}", 
          ex.ErrorCode, ex.Message, ex.RequestId, ex.HostId);
  }
  catch (Exception ex)
  {
      Console.WriteLine("Failed with error info: {0}", ex.Message);
  }