OSS移动开发实战3 (30分钟快速搭建移动应用之安全策略)-阿里云开发者社区

开发者社区> wood23> 正文

OSS移动开发实战3 (30分钟快速搭建移动应用之安全策略)

简介:
+关注继续查看

搭建应用服务器之STS Policy

上一篇文章中介绍了如何快速搭建应用服务器,在本文中会基于上文提到的应用服务器,以上海的Bucket app-base-oss为例子,配置不同的Policy以实现不同的权限控制。
以下说明中假设你已经开通了STS,并完全阅读了上一篇文章。以下提到的Policy都是指上文提到的config.json中指定的Policy文件的内容。
以下讲述的获取STS Token 后对OSS操作 指的是应用服务器指定Policy,从STS获取临时凭证后,应用通过临时凭证访问OSS。

常见Policy

完全授权的Policy

上文为了演示方便,默认Policy如下,表示的意思是允许应用对所有OSS的操作。
这对移动应用来说是不安全的授权,不推荐

{
  "Statement": [
    {
      "Action": [
        "oss:*"
      ],
      "Effect": "Allow",
      "Resource": ["acs:oss:*:*:*"]
    }
  ],
  "Version": "1"
}

| 获取STS Token 后对OSS操作 | 结果 |
| -------- | -----: |
| 列出所有创建的Bucket | 成功 |
| 上传不带前缀的Object,test.txt | 成功 |
| 下载不带前缀的Object, test.txt | 成功 |
| 上传带前缀的Object, user1/test.txt | 成功 |
| 下载带前缀的Object, user1/test.txt | 成功 |
| 列出Object, test.txt | 成功 |
| 带前缀的Object, user1/test.txt | 成功 |

只读不写的Policy

不限制前缀的只读不写Policy

这个Policy表示,应用可以对Bucket app-base-oss下所有的Object可列举,可下载。

{
  "Statement": [
    {
      "Action": [
        "oss:GetObject",
        "oss:ListObjects"
      ],
      "Effect": "Allow",
      "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"]
    }
  ],
  "Version": "1"
}

| 获取STS Token 后对OSS操作 | 结果 |
| -------- | -----: |
| 列出所有创建的Bucket | 失败 |
| 上传不带前缀的Object,test.txt | 失败 |
| 下载不带前缀的Object, test.txt | 成功 |
| 上传带前缀的Object, user1/test.txt | 失败 |
| 下载带前缀的Object, user1/test.txt | 成功 |
| 列出Object, test.txt | 成功 |
| 带前缀的Object, user1/test.txt | 成功 |

限制前缀的只读不写Policy

这个Policy表示,应用可以对Bucket app-base-oss下带有前缀user1/的Object可列举,可下载。但无法下载其他前缀的Object。
这样不同的应用如果对应不同的前缀,就可以达到在同一个bucket中空间隔离的效果。

{
  "Statement": [
    {
      "Action": [
        "oss:GetObject",
        "oss:ListObjects"
      ],
      "Effect": "Allow",
      "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"]
    }
  ],
  "Version": "1"
}

| 获取STS Token 后对OSS操作 | 结果 |
| -------- | -----: |
| 列出所有创建的Bucket | 失败 |
| 上传不带前缀的Object,test.txt | 失败 |
| 下载不带前缀的Object, test.txt |失败 |
| 上传带前缀的Object, user1/test.txt | 失败 |
| 下载带前缀的Object, user1/test.txt | 成功 |
| 列出Object, test.txt | 成功 |
| 带前缀的Object, user1/test.txt | 成功 |

只写不读的Policy

不限制前缀的只写不对Policy

这个Policy表示,应用可以对Bucket app-base-oss下所有的Object可上传。

{
  "Statement": [
    {
      "Action": [
        "oss:PutObject"
      ],
      "Effect": "Allow",
      "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"]
    }
  ],
  "Version": "1"
}

| 获取STS Token 后对OSS操作 | 结果 |
| -------- | -----: |
| 列出所有创建的Bucket | 失败 |
| 上传不带前缀的Object,test.txt | 成功 |
| 下载不带前缀的Object, test.txt |失败 |
| 上传带前缀的Object, user1/test.txt | 成功 |
| 下载带前缀的Object, user1/test.txt | 失败 |
| 列出Object, test.txt | 失败 |
| 带前缀的Object, user1/test.txt | 失败 |

限制前缀的只写不读Policy

这个Policy表示,应用可以对Bucket app-base-oss下带有前缀user1/的Object可上传。但无法上传其他前缀的Object。
这样不同的应用如果对应不同的前缀,就可以达到在同一个bucket中空间隔离的效果。

{
  "Statement": [
    {
      "Action": [
        "oss:PutObject"
      ],
      "Effect": "Allow",
      "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"]
    }
  ],
  "Version": "1"
}

| 获取STS Token 后对OSS操作 | 结果 |
| -------- | -----: |
| 列出所有创建的Bucket | 失败 |
| 上传不带前缀的Object,test.txt | 失败 |
| 下载不带前缀的Object, test.txt |失败 |
| 上传带前缀的Object, user1/test.txt | 成功 |
| 下载带前缀的Object, user1/test.txt | 失败 |
| 列出Object, test.txt | 失败 |
| 带前缀的Object, user1/test.txt | 失败 |

读写的Policy

不限制前缀的读写Policy

这个Policy表示,应用可以对Bucket app-base-oss下所有的Object可列举,可下载,可上传和删除。

{
  "Statement": [
    {
      "Action": [
        "oss:GetObject",
        "oss:PutObject",
        "oss:DeleteObject",
        "oss:ListParts",
        "oss:AbortMultipartUpload",
        "oss:ListObjects"
      ],
      "Effect": "Allow",
      "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"]
    }
  ],
  "Version": "1"
}

| 获取STS Token 后对OSS操作 | 结果 |
| -------- | -----: |
| 列出所有创建的Bucket | 失败 |
| 上传不带前缀的Object,test.txt | 成功 |
| 下载不带前缀的Object, test.txt | 成功 |
| 上传带前缀的Object, user1/test.txt | 成功 |
| 下载带前缀的Object, user1/test.txt | 成功 |
| 列出Object, test.txt | 成功 |
| 带前缀的Object, user1/test.txt | 成功 |

限制前缀的读写Policy

这个Policy表示,应用可以对Bucket app-base-oss下带有前缀user1/的Object可列举,可下载,可上传和删除。但无法对其他前缀的Object进行读写。
这样不同的应用如果对应不同的前缀,就可以达到在同一个bucket中空间隔离的效果。

{
  "Statement": [
    {
      "Action": [
        "oss:GetObject",
        "oss:PutObject",
        "oss:DeleteObject",
        "oss:ListParts",
        "oss:AbortMultipartUpload",
        "oss:ListObjects"
      ],
      "Effect": "Allow",
      "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"]
    }
  ],
  "Version": "1"
}

| 获取STS Token 后对OSS操作 | 结果 |
| -------- | -----: |
| 列出所有创建的Bucket | 失败 |
| 上传不带前缀的Object,test.txt | 失败 |
| 下载不带前缀的Object, test.txt | 失败 |
| 上传带前缀的Object, user1/test.txt | 成功 |
| 下载带前缀的Object, user1/test.txt | 成功 |
| 列出Object, test.txt | 成功 |
| 带前缀的Object, user1/test.txt | 成功 |

小结

从上面的例子可以看出

  • 可以根据不同的应用场景制定不同的Policy,然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。
  • 另外也可以在应用端做优化,在STS Token过期之前不需要向应用服务器再次请求。这里就不多讲。
  • 需要特别注意的是Token实际颁发是由STS颁发的,应用服务器相当于定制了Policy,向STS请求Token,然后将Token转发给应用。
    这里的Token是一个简略的说法。实际上包含了"AccessKeyId","AccessKeySecret","Expiration","SecurityToken",这些在OSS提供给应用的SDK中会用到。

详细参见各个SDK的实现。

  • 以上的Policy中的app-base-oss是本文使用的Bucket,如果在实际使用中需要替换成自己的Bucket。

更多参考资料

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
快速搭建基于 Serverless 的 .NET Core 数据库应用
快速搭建基于 Serverless 的 .NET Core 数据库应用 简介 首先介绍下在本文出现的几个比较重要的概念: 函数计算(Function Compute):函数计算是一个事件驱动的服务,通过函数计算,用户无需管理服务器等运行情况,只需编写代码并上传。
20046 0
快速搭建平头哥安全处理器的可信执行环境
平头哥安全处理器系列包括CK802T, CK803T, CK804T和E902T等, 结合平头哥SoC安全机制,搭建的芯片平台具有良好的兼容性和健壮性。基于平头哥TEE OS接口的扩展性和移植性,可以方便地快速地移植到其他平头哥安全处理器的芯片平台上。本文介绍了如何在不同的芯片平台快速创建可信执行环境的步骤和注意点,帮助设计开发者迅速的在平头哥安全处理器上开发TEE OS。
1259 0
云原生应用万节点分钟级分发协同实践
作者:谢于宁、罗晶、邓隽 引言 2019 年天猫双11,阿里巴巴核心系统首次实现 100% 上云。面对全球最大的交易洪峰,阿里云扛住了每秒 54.4 万笔的交易峰值,这是“云原生”与“天猫全球狂欢节”的一次完美联名。 (图为 2019 年天猫双11 成交额) 容器镜像服务作为阿里巴巴经济体云原生领域的重要基础设施之一,早在 双1
383 0
《React Native移动开发实战》一一2.2 Git版本控制工具
本节书摘来自华章出版社《React Native移动开发实战》一 书中的第2章,第2.2节,作者:袁林 著 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1757 0
阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态
阿里云安全运营中心对疫情期间的应用层DDoS攻击事件做了深入分析,希望给企业提升防御水位提供参考。
3514 0
+关注
3
文章
268
问答
来源圈子
更多
阿里云存储基于飞天盘古2.0分布式存储系统,产品包括对象存储OSS、块存储Block Storage、共享文件存储NAS、表格存储、日志存储与分析、归档存储及混合云存储等,充分满足用户数据存储和迁移上云需求,连续三年跻身全球云存储魔力象限四强。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载