使用场景

1. 使用具有访问权限的RAM账号，生成预签名上传URL给到第三方，让第三方上传指定key值的文件，并设置超时时间60s.
2. 使用具有访问权限的RAM账号，色花姑娘成预签名下载URL给到第三方，让第三方下载指定key值的文件，并设置超时时间60s.

开发方式

使用OSS Python SDK V2官方示例
https://help.aliyun.com/zh/oss/developer-reference/upload-an-object-using-a-signed-url-generated-with-oss-sdk-for-python-v2?spm=a2c4g.11186623.help-menu-31815.d_5_2_2_4_0_4.36a25b5bRfeTr7&scm=20140722.H_2868614._.OR_help-T_cn~zh-V_1
https://help.aliyun.com/zh/oss/developer-reference/download-an-object-using-a-signed-url-generated-with-oss-sdk-for-python-v2?spm=a2c4g.11186623.help-menu-31815.d_5_2_2_4_1_3.2bbd5436yutYsM&scm=20140722.H_2867538._.OR_help-T_cn~zh-V_1

现象

1. 在使用预签名上传URL时，超时设置无效，即使超过了设置的60s时间，依然可以上传文件，甚至过了10个小时之后依然可以上传。
2. 在使用预签名上传URL时，设置的key值无效，使用方只需要修改URL中的key值，便可以随意上传新文件。
3. 在使用预签名下载URL时，超时设置无效，即使超过了设置的超时时间，依然可以下载文件。

总结

OSS服务的预签名URL超时设置以及key值效验无效，造成重大的安全隐患，第三方拿到url后可以在很长一段时间内对OSS服务进行上传下载操作，并且key值效验无效，可以任意上传文件。
完全按照官方文档进行操作，如果使用不当，还请指正。