请问OSS在APP/WEB应用推荐STS和签名带Policy的差别？

您好，本质上来看，web直传和app使用STS其实都是最佳实践，两种方案都省去了应用服务器处理文件再上传到OSS的多余的一步，同时利用了OSS服务本身的带宽。app使用STS的本身思路其实和web端从服务端拿签名然后直传OSS是一样的，唯一的区别在于，APP使用的STStoken方案适用的场景更广泛，这一点也是由STS授权方案带来的。具体为，除了支持当前阿里云账号的开发者上传数据到OSS以外，还支持跨账号上传数据，在STS 授权给另外一个阿里云账号以后，另外一个阿里云账号的开发者就可以把数据上传到被授权的OSS Bucket中。这个场景在很多平台型的PAAS服务里面有极大的优势。具体可以参考下STS的文档了解一下：https://help.aliyun.com/document_detail/31953.html?spm=a2c4g.11186623.6.871.oBqhZR

简而言之，两种都是最佳实践，后一种方案有更多的应用场景。如果只是自己的阿里云账号给自己的前端或者移动端使用的话，web直传的方案是足够的；如果是平台型的PAAS服务，作为中间服务提供商，对拥有不同阿里云账号的开发者提供上传文件服务，那么就只能使用STS token授权方案了，因为涉及到了跨账号使用OSS资源的问题。