开发者社区> 问答> 正文

临时授权访问



STS介绍


OSS可以通过阿里云STS服务,临时进行授权访问。阿里云STS (Security Token Service) 是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或联邦用户(用户身份由您自己管理)颁发一个自定义时效和权限的访问凭证。第三方应用或联邦用户可以使用该访问凭证直接调用阿里云产品API,或者使用阿里云产品提供的SDK来访问云产品API。


  • 您不需要透露您的长期密钥(AccessKey)给第三方应用,只需要生成一个访问令牌并将令牌交给第三方应用即可。

  • 这个令牌的访问权限及有效期限都可以由您自定义。

  • 您不需要关心权限撤销问题,访问令牌过期后就自动失效。

以app应用为例,交互流程如下图:

方案的详细描述如下:

  1. App用户登录。
    客户自己管理App用户,自定义身份管理系统,也可以使用外部Web账号或OpenID。对于每个有效的App用户来说,AppServer是可以确切地定义出每个App用户的最小访问权限。

  2. AppServer请求STS服务获取一个安全令牌(SecurityToken)。
    在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。通过调用STS的AssumeRole(扮演角色)接口来获取安全令牌。角色管理与使用相关内容请参考RAM使用指南中的角色管理

  3. STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId、AccessKeySecret)以及过期时间。

  4. AppServer将访问凭证返回给ClientApp。
    ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。

  5. ClientApp使用本地缓存的访问凭证去请求Alibaba Cloud Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,并正确响应用户请求。

STS安全令牌详情,请参考RAM使用指南中的 角色管理。关键是调用STS服务接口 AssumeRole来获取有效访问凭证即可。也可以直接使用STS SDK来调用该方法 单击查看

使用STS凭证构造签名请求


用户的客户端拿到STS临时凭证后,通过其中安全令牌(SecurityToken)以及临时访问密钥(AccessKeyId、AccessKeySecret)构建签名。授权访问签名的构建方式与直接使用根账号的AccessKey 在Header中包含签名基本一致,关键注意两点:

  • 用户使用的签名密钥为STS提供的临时访问密钥(AccessKeyId、AccessKeySecret)。

  • 用户需要将安全令牌(SecurityToken)携带在请求header中或者以请求参数的形式放入URI中。这两种形式只能选择其一,如果都选择,OSS会返回InvalidArgument错误。
    在header中包含头部x-oss-security-token:SecurityToken。计算签名CanonicalizedOSSHeaders时,将x-oss-security-token计算在内。

  • 在URL中携带参数security-token=SecurityToken。计算签名CanonicalizedResource时 ,将security-token当做一个sub-resource计算在内。

展开
收起
青衫无名 2017-10-20 10:26:06 3512 0
0 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载