STS认证接入流程
前提条件
在开始接入之前:
- 请阅读基本概念一文,熟悉智能云相册的相关概念;
- 开通智能云相册和相关服务,且创建PhotoStore。
访问和认证流程
智能云相册服务的交互结构如下:
访问和认证流程为:
- 客户端(移动设备)登录到业务服务器,图中的步骤1,
- 业务服务器请求阿里云资源访问控制服务(RAM),获取能访问智能云相册服务的STS凭证(图中步骤2和3),并将STS凭证和其他信息返回给客户端(图中步骤4),
- 客户端凭步骤4获取的STS凭证访问智能云相册服务,
- 智能云相册服务内部使用了阿里云对象存储服务,用于存储用户上传的照片。智能云相册会提供临时密钥给客户端用于访问OSS,客户端需要将文件上传到OSS或从OSS中下载照片。
其中:
- 步骤1和2类似于上述例子中,员工(客户端)从公司行政部(业务服务器)领取进入公司的门卡。行政部首先确认前来申请门卡的人是否为本公司员工,确认通过后行政部再从写字楼的物业(RAM服务)那里申请一张只能进入您公司的门卡(即STS凭证)。
- 步骤5和6类似于上述例子中,员工持有有效期内的门卡自由进出公司和使用被授权的资源。
- 类似于上述例子中的门卡包含了使用该门卡的员工信息、有效期等信息。在阿里云资源访问控制服务(RAM)颁发的访问凭证同样也包含该访问凭证的有效期、能访问的资源以及被授予的客户端(RoleSessionName)。因此业务服务器在第2步申请访问凭证的时候需要控制好访问凭证的的权限范围,尽量满足最小权限法则。
接入流程
从上图中可以看到,接入智能云相册包括两个部分:
- 在您的业务服务器端,使用阿里云访问控制服务(RAM)来为客户端申请访问智能云相册的临时访问凭证(STS Token),同时返回客户端需要的其他信息,包括:PhotoStore的名称和服务地域等。
- 在您客户端,使用第1步获取到的访问凭证来使用智能云相册提供的各种功能,比如,创建照片、获取照片列表等。相关功能的使用方法,请参考API和SDK使用手册。
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
