开发者社区> 问答> 正文

请问OSS在APP/WEB应用推荐STS和签名带Policy的差别?

Web端直传推荐通过POST携带Policy参数做签名,为什么不使用移动应用端推荐的STS方案,两者有什么差别,以及如何推荐使用,谢谢

app使用sts:
https://help.aliyun.com/document_detail/31920.html?spm=5176.doc31947.6.626.1l8SNX

web直传使用policy自签名:
https://help.aliyun.com/document_detail/31923.html?spm=5176.doc31947.6.630.2k9L3I

展开
收起
shawn_xiao 2017-10-12 11:19:47 5116 0
1 条回答
写回答
取消 提交回答
  • 您好,本质上来看,web直传和app使用STS其实都是最佳实践,两种方案都省去了应用服务器处理文件再上传到OSS的多余的一步,同时利用了OSS服务本身的带宽。app使用STS的本身思路其实和web端从服务端拿签名然后直传OSS是一样的,唯一的区别在于,APP使用的STStoken方案适用的场景更广泛,这一点也是由STS授权方案带来的。具体为,除了支持当前阿里云账号的开发者上传数据到OSS以外,还支持跨账号上传数据,在STS 授权给另外一个阿里云账号以后,另外一个阿里云账号的开发者就可以把数据上传到被授权的OSS Bucket中。这个场景在很多平台型的PAAS服务里面有极大的优势。具体可以参考下STS的文档了解一下:https://help.aliyun.com/document_detail/31953.html?spm=a2c4g.11186623.6.871.oBqhZR

    简而言之,两种都是最佳实践,后一种方案有更多的应用场景。如果只是自己的阿里云账号给自己的前端或者移动端使用的话,web直传的方案是足够的;如果是平台型的PAAS服务,作为中间服务提供商,对拥有不同阿里云账号的开发者提供上传文件服务,那么就只能使用STS token授权方案了,因为涉及到了跨账号使用OSS资源的问题。

    2019-07-17 21:39:04
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
女性移动App安全攻防战 立即下载
汇聚云计算的生态核能——云市场,云上APP Store 立即下载
千万级用户直播App——服务端架构设计和思考 立即下载