请问v1版本在线预览文件的方式,智能媒体管理必须要在页面中写这几个参数吗?是否会暴露?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
对于v1版本的在线预览文件方式,如果你使用的是智能媒体管理功能,并且在页面中直接写入相关参数,这些参数可能会被暴露。因此,在生产环境中,不建议将敏感信息或具有安全风险的参数直接写入页面。
为了保护数据的安全性和防止信息泄露,推荐采用以下方式来进行在线预览文件:
后端请求:将触发在线预览文件的请求发送到后端,然后由后端处理和转发该请求。在后端代码中,可以安全地存储和处理敏感参数,并控制对资源的访问权限。
生成临时链接:在后端生成一个临时链接,可以包含必要的参数,但该链接的有效期限制了非法访问的可能性。通过在页面中嵌入该临时链接,用户可以访问并预览文件,但无法获取到敏感参数。
使用身份验证和权限控制:对于需要访问在线预览文件的用户,确保适当的身份验证和权限控制机制。例如,要求用户登录并根据其角色分配相应的访问权限。
、
如下参数:
Copy
src: 文件的 URL
fileType: 文件类型
accessKeyId: 阿里云账号的 accessKeyId
accessKeySecret: 阿里云账号的 accessKeySecret
securityToken: 阿里云账号的 securityToken
其中,src 是文件的 URL,fileType 是文件的类型,例如 video 或 image,accessKeyId、accessKeySecret 和 securityToken 是阿里云账号的访问密钥参数,用于身份验证和授权。
在页面中写入这些参数不会导致安全问题,因为这些参数只是用于身份验证和授权,不会暴露您的阿里云账号信息。不过,为了保障阿里云账号的安全,建议您不要将这些参数直接写在页面中,而是通过后端服务器在请求阿里云 API 时进行身份验证和授权,然后将预览文件的 URL 返回给前端页面进行展示。
https://help.aliyun.com/document_detail/371864.html?spm=a2c4g.371863.0.0先用这个文档生成 accessKeyId accessKeySecret 和 stsToken
stsToken 就是里面的 SecurityToken
每次调用可以获取一个临时的 时间也可以设置 过期了之后这个凭证就会失效 需要重新调用 AssumeRole 拿到新的凭证,此回答整理自钉群“智能媒体管理官网客户群”
