开发者社区> 问答> 正文

在阿里云OpenAPI我们SDK用哪个方式呢?需要换成STS方式吗?

在阿里云OpenAPI我们SDK用哪个方式呢?需要换成STS方式吗?lQLPJwHcbHW2esDNAVfNBMawxotdXpwCd1AEtKgjEoASAA_1222_343.png

展开
收起
三分钟热度的鱼 2023-08-01 09:01:41 88 0
3 条回答
写回答
取消 提交回答
  • 北京阿里云ACE会长

    根据您提供的信息,您正在使用Java语言编写阿里云OpenAPI的SDK代码。针对您的问题,以下是一些建议:

    推荐使用STS方式:阿里云建议您使用STS(Security Token Service)方式进行API授权,以获得更高的安全性和灵活性。STS可以为您的应用程序提供临时的访问凭证,使您的应用程序能够以安全的方式调用阿里云OpenAPI。您可以参考阿里云官方文档了解如何使用STS方式进行API授权,具体文档链接为:https://help.aliyun.com/document_detail/37857.html

    确保访问密钥的安全性:如果您使用的是AccessKey方式进行API授权,请确保您的AccessKey的安全性。建议您将AccessKey保存在安全的地方,并不要将其明文保存在代码中或通过网络传输。如果您的AccessKey泄露,可能会导致您的阿里云账号受到攻击或滥用。

    确保SDK代码正确性:您需要确保您的SDK代码正确地构造了API请求对象、正确填写了请求参数和环境变量,并正确地处理API响应结果。如果您的SDK代码存在错误,可能会导致API调用失败或产生异常。

    2023-08-01 09:58:36
    赞同 展开评论 打赏
  • 在阿里云OpenAPI中,SDK的身份验证方式可以选择多种方法,具体取决于你的使用场景和需求。

    1. AccessKey方式:AccessKey是一对用于访问阿里云API的密钥,包括AccessKeyId和AccessKeySecret。这种方式适用于具有长期访问权限的场景,例如服务器端应用等。

    2. STS临时授权方式:STS(Security Token Service)提供了一种临时授权的方式,你可以使用STS服务获取一个临时访问凭证,并将其传递给SDK进行身份验证。这种方式适用于需要临时授权的场景,例如移动端应用、临时生成签名等。

    如果你在阿里云OpenAPI中已经使用了AccessKey方式进行身份验证,并且没有特殊的安全要求或限制,那么没有必要立即切换到STS方式。AccessKey方式在很多场景下都是可行且方便的。

    如果你的应用需要更加细粒度的访问控制、安全性要求较高、或者需要在移动端等场景下使用临时授权,那么可以考虑使用STS临时授权方式。使用STS方式需要先创建一个RAM角色,并设置相应的权限策略,然后通过STS服务获取临时凭证,最后将临时凭证传递给SDK进行访问。
    image.png

    2023-08-01 09:21:41
    赞同 展开评论 打赏
  • SDK默认是AK SK的方式。STS会更安全。此回答整理自钉群“阿里云 OpenAPI SDK 自签名服务群”

    2023-08-01 09:04:23
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
从 SDK 到编解码:视频直播架构解析 立即下载
跨平台的云服务SDK需要什么 立即下载
一个跨平台的云服务SDK需要什么 立即下载