获取oss授权

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 开发架构图 典型的基于OSS的移动开发有四个组件： OSS：提供上传、下载、上传回调等功能。 开发者的移动客户端（app或者网页应用），简称客户端：通过开发者提供的服务，间接使用OSS。 应用服务器：客户端交互的服务器，也是开发者的业务服务器。 阿里云STS：颁发临时凭证。 开发业务流程 临时凭证授权的上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取上传到OSS的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 说明 客户端不需要每次都向应用服务器请求授权，在第一次授权完成之后可以缓存STS返回的临时凭证直到超过失效时间。 STS提供了强大的权限控制功能，可以将客户端的访问权限限制到Object级别，从而实现不同客户端在OSS端上传的Object的完全隔离，极大提高了安全性。 更多信息请参见授权给第三方上传。 签名URL授权的上传和表单上传 如图所示：具体步骤如下： 客户端向应用服务器发出上传文件到OSS的请求。 应用服务器回复客户端，将上传凭证（签名URL或者表单）返回给客户端。 客户端获取上传到OSS的授权（签名URL或者表单），调用OSS提供的移动端SDK上传或者直接表单上传。 客户端成功上传数据到OSS。如果没有设置回调，则流程结束。如果设置了回调功能，OSS会调用相关的接口。 更多信息请参见授权给第三方上传。 临时凭证授权的下载 跟临时凭证授权的上传过程类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器向STS服务器请求一次，获取临时凭证。 应用服务器回复客户端，将临时凭证返回给客户端。 客户端获取下载OSS文件的授权（STS的AccessKey以及Token），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 和上传类似，客户端对于临时凭证也可以进行缓存从而提高访问速度。 STS同样也提供了精确到Object的下载权限控制，和上传权限控制结合在一起可以实现各移动端在OSS上存储空间的完全隔离。 签名URL授权的下载 跟签名URL授权的上传类似： 客户端向应用服务器发出下载OSS文件的请求。 应用服务器回复客户端，将签名URL返回给客户端。 客户端获取下载OSS文件的授权（签名URL），调用OSS提供的移动端SDK下载。 客户端成功从OSS下载文件。 说明 客户端不能存储开发者的AccessKey，只能获取应用服务器签名的URL或者是通过STS颁发的临时凭证（也就是STS的AccessKey和Token）。 最佳实践 快速搭建移动应用直传服务 快速搭建移动应用上传回调服务 权限控制 RAM和STS使用指南 功能使用参考 Android SDK上传文件 iOS SDK上传文件

详细解答可以参考官方帮助文档 本文基于快速搭建移动应用直传服务中提到的应用服务器，以上海的Bucket app-base-oss 为例，讲解如何配置不同的Policy实现不同的权限控制。 说明 本文提到的Policy是指快速搭建移动应用直传服务提到的config.json中指定的Policy文件内容。 以下讲述的获取STS Token 后对OSS的操作是指为应用服务器指定Policy。从STS获取临时凭证后，应用通过临时凭证访问OSS。 常见Policy 完全授权的Policy 完全授权的Policy表示允许应用可以对OSS进行任何操作。 警告 完全授权的Policy对移动应用来说是不安全的授权，不推荐使用。 { "Statement": [ { "Action": [ "oss:*" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:*"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 成功 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下所有的Object可列举，可下载。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出不带前缀的Object，test.txt 成功 列出带前缀的Object，user1/test.txt 成功 限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下带有前缀user1/的Object可列举、可下载，但无法下载其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行上传。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行上传。但无法上传其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 失败 带前缀的Object，user1/test.txt 失败 不限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行列举、下载、上传和删除。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行列举、下载、上传和删除，但无法对其他前缀的Object进行读写。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 总结 从上面的例子可以看出： 可以根据不同的应用场景制定不同的Policy，然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。 可以在应用端做优化，使得STS Token过期之前不需要向应用服务器再次请求。 Token由STS颁发。应用服务器只是定制了Policy，向STS请求Token，然后将Token转发给应用。这里的Token包含了AccessKeyId、AccessKeySecret、Expiration、SecurityToken，这些参数在OSS提供给应用的SDK中会用到。详情请参见各语言SDK参考中的授权访问章节。 参考文档 RAM和STS在OSS中的使用指南 阿里云RAM官方文档 阿里云STS官方文档

详细解答可以参考官方帮助文档 本文基于快速搭建移动应用直传服务中提到的应用服务器，以上海的Bucket app-base-oss 为例，讲解如何配置不同的Policy实现不同的权限控制。 说明 本文提到的Policy是指快速搭建移动应用直传服务提到的config.json中指定的Policy文件内容。 以下讲述的获取STS Token 后对OSS的操作是指为应用服务器指定Policy。从STS获取临时凭证后，应用通过临时凭证访问OSS。 常见Policy 完全授权的Policy 完全授权的Policy表示允许应用可以对OSS进行任何操作。 警告 完全授权的Policy对移动应用来说是不安全的授权，不推荐使用。 { "Statement": [ { "Action": [ "oss:*" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:*"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 成功 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下所有的Object可列举，可下载。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出不带前缀的Object，test.txt 成功 列出带前缀的Object，user1/test.txt 成功 限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下带有前缀user1/的Object可列举、可下载，但无法下载其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行上传。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行上传。但无法上传其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 失败 带前缀的Object，user1/test.txt 失败 不限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行列举、下载、上传和删除。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行列举、下载、上传和删除，但无法对其他前缀的Object进行读写。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 总结 从上面的例子可以看出： 可以根据不同的应用场景制定不同的Policy，然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。 可以在应用端做优化，使得STS Token过期之前不需要向应用服务器再次请求。 Token由STS颁发。应用服务器只是定制了Policy，向STS请求Token，然后将Token转发给应用。这里的Token包含了AccessKeyId、AccessKeySecret、Expiration、SecurityToken，这些参数在OSS提供给应用的SDK中会用到。详情请参见各语言SDK参考中的授权访问章节。 参考文档 RAM和STS在OSS中的使用指南 阿里云RAM官方文档 阿里云STS官方文档

详细解答可以参考官方帮助文档 本文基于快速搭建移动应用直传服务中提到的应用服务器，以上海的Bucket app-base-oss 为例，讲解如何配置不同的Policy实现不同的权限控制。 说明 本文提到的Policy是指快速搭建移动应用直传服务提到的config.json中指定的Policy文件内容。 以下讲述的获取STS Token 后对OSS的操作是指为应用服务器指定Policy。从STS获取临时凭证后，应用通过临时凭证访问OSS。 常见Policy 完全授权的Policy 完全授权的Policy表示允许应用可以对OSS进行任何操作。 警告 完全授权的Policy对移动应用来说是不安全的授权，不推荐使用。 { "Statement": [ { "Action": [ "oss:*" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:*"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 成功 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下所有的Object可列举，可下载。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出不带前缀的Object，test.txt 成功 列出带前缀的Object，user1/test.txt 成功 限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下带有前缀user1/的Object可列举、可下载，但无法下载其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行上传。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行上传。但无法上传其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 失败 带前缀的Object，user1/test.txt 失败 不限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行列举、下载、上传和删除。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行列举、下载、上传和删除，但无法对其他前缀的Object进行读写。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 总结 从上面的例子可以看出： 可以根据不同的应用场景制定不同的Policy，然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。 可以在应用端做优化，使得STS Token过期之前不需要向应用服务器再次请求。 Token由STS颁发。应用服务器只是定制了Policy，向STS请求Token，然后将Token转发给应用。这里的Token包含了AccessKeyId、AccessKeySecret、Expiration、SecurityToken，这些参数在OSS提供给应用的SDK中会用到。详情请参见各语言SDK参考中的授权访问章节。 参考文档 RAM和STS在OSS中的使用指南 阿里云RAM官方文档 阿里云STS官方文档

详细解答可以参考官方帮助文档 本文基于快速搭建移动应用直传服务中提到的应用服务器，以上海的Bucket app-base-oss 为例，讲解如何配置不同的Policy实现不同的权限控制。 说明 本文提到的Policy是指快速搭建移动应用直传服务提到的config.json中指定的Policy文件内容。 以下讲述的获取STS Token 后对OSS的操作是指为应用服务器指定Policy。从STS获取临时凭证后，应用通过临时凭证访问OSS。 常见Policy 完全授权的Policy 完全授权的Policy表示允许应用可以对OSS进行任何操作。 警告 完全授权的Policy对移动应用来说是不安全的授权，不推荐使用。 { "Statement": [ { "Action": [ "oss:*" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:*"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 成功 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下所有的Object可列举，可下载。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出不带前缀的Object，test.txt 成功 列出带前缀的Object，user1/test.txt 成功 限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下带有前缀user1/的Object可列举、可下载，但无法下载其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行上传。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行上传。但无法上传其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 失败 带前缀的Object，user1/test.txt 失败 不限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行列举、下载、上传和删除。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行列举、下载、上传和删除，但无法对其他前缀的Object进行读写。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 总结 从上面的例子可以看出： 可以根据不同的应用场景制定不同的Policy，然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。 可以在应用端做优化，使得STS Token过期之前不需要向应用服务器再次请求。 Token由STS颁发。应用服务器只是定制了Policy，向STS请求Token，然后将Token转发给应用。这里的Token包含了AccessKeyId、AccessKeySecret、Expiration、SecurityToken，这些参数在OSS提供给应用的SDK中会用到。详情请参见各语言SDK参考中的授权访问章节。 参考文档 RAM和STS在OSS中的使用指南 阿里云RAM官方文档 阿里云STS官方文档

详细解答可以参考官方帮助文档 本文基于快速搭建移动应用直传服务中提到的应用服务器，以上海的Bucket app-base-oss 为例，讲解如何配置不同的Policy实现不同的权限控制。 说明 本文提到的Policy是指快速搭建移动应用直传服务提到的config.json中指定的Policy文件内容。 以下讲述的获取STS Token 后对OSS的操作是指为应用服务器指定Policy。从STS获取临时凭证后，应用通过临时凭证访问OSS。 常见Policy 完全授权的Policy 完全授权的Policy表示允许应用可以对OSS进行任何操作。 警告 完全授权的Policy对移动应用来说是不安全的授权，不推荐使用。 { "Statement": [ { "Action": [ "oss:*" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:*"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 成功 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下所有的Object可列举，可下载。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出不带前缀的Object，test.txt 成功 列出带前缀的Object，user1/test.txt 成功 限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下带有前缀user1/的Object可列举、可下载，但无法下载其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行上传。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行上传。但无法上传其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 失败 带前缀的Object，user1/test.txt 失败 不限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行列举、下载、上传和删除。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行列举、下载、上传和删除，但无法对其他前缀的Object进行读写。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 总结 从上面的例子可以看出： 可以根据不同的应用场景制定不同的Policy，然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。 可以在应用端做优化，使得STS Token过期之前不需要向应用服务器再次请求。 Token由STS颁发。应用服务器只是定制了Policy，向STS请求Token，然后将Token转发给应用。这里的Token包含了AccessKeyId、AccessKeySecret、Expiration、SecurityToken，这些参数在OSS提供给应用的SDK中会用到。详情请参见各语言SDK参考中的授权访问章节。 参考文档 RAM和STS在OSS中的使用指南 阿里云RAM官方文档 阿里云STS官方文档

详细解答可以参考官方帮助文档 本文基于快速搭建移动应用直传服务中提到的应用服务器，以上海的Bucket app-base-oss 为例，讲解如何配置不同的Policy实现不同的权限控制。 说明 本文提到的Policy是指快速搭建移动应用直传服务提到的config.json中指定的Policy文件内容。 以下讲述的获取STS Token 后对OSS的操作是指为应用服务器指定Policy。从STS获取临时凭证后，应用通过临时凭证访问OSS。 常见Policy 完全授权的Policy 完全授权的Policy表示允许应用可以对OSS进行任何操作。 警告 完全授权的Policy对移动应用来说是不安全的授权，不推荐使用。 { "Statement": [ { "Action": [ "oss:*" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:*"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 成功 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下所有的Object可列举，可下载。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出不带前缀的Object，test.txt 成功 列出带前缀的Object，user1/test.txt 成功 限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下带有前缀user1/的Object可列举、可下载，但无法下载其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行上传。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行上传。但无法上传其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 失败 带前缀的Object，user1/test.txt 失败 不限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行列举、下载、上传和删除。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行列举、下载、上传和删除，但无法对其他前缀的Object进行读写。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 总结 从上面的例子可以看出： 可以根据不同的应用场景制定不同的Policy，然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。 可以在应用端做优化，使得STS Token过期之前不需要向应用服务器再次请求。 Token由STS颁发。应用服务器只是定制了Policy，向STS请求Token，然后将Token转发给应用。这里的Token包含了AccessKeyId、AccessKeySecret、Expiration、SecurityToken，这些参数在OSS提供给应用的SDK中会用到。详情请参见各语言SDK参考中的授权访问章节。 参考文档 RAM和STS在OSS中的使用指南 阿里云RAM官方文档 阿里云STS官方文档

详细解答可以参考官方帮助文档 本文基于快速搭建移动应用直传服务中提到的应用服务器，以上海的Bucket app-base-oss 为例，讲解如何配置不同的Policy实现不同的权限控制。 说明 本文提到的Policy是指快速搭建移动应用直传服务提到的config.json中指定的Policy文件内容。 以下讲述的获取STS Token 后对OSS的操作是指为应用服务器指定Policy。从STS获取临时凭证后，应用通过临时凭证访问OSS。 常见Policy 完全授权的Policy 完全授权的Policy表示允许应用可以对OSS进行任何操作。 警告 完全授权的Policy对移动应用来说是不安全的授权，不推荐使用。 { "Statement": [ { "Action": [ "oss:*" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:*"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 成功 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下所有的Object可列举，可下载。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出不带前缀的Object，test.txt 成功 列出带前缀的Object，user1/test.txt 成功 限制前缀的只读不写Policy 此Policy表示应用对Bucketapp-base-oss下带有前缀user1/的Object可列举、可下载，但无法下载其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 不限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行上传。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的只写不读Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行上传。但无法上传其他前缀的Object。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:PutObject" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 失败 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 失败 带前缀的Object，user1/test.txt 失败 不限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下所有的Object进行列举、下载、上传和删除。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 成功 下载不带前缀的Object，test.txt 成功 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 限制前缀的读写Policy 此Policy表示应用可以对Bucketapp-base-oss下带有前缀user1/的Object进行列举、下载、上传和删除，但无法对其他前缀的Object进行读写。采用此种Policy，如果不同的应用对应不同的前缀，就可以达到在同一个Bucket中空间隔离的效果。 { "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects" ], "Effect": "Allow", "Resource": ["acs:oss:*:*:app-base-oss/user1/*", "acs:oss:*:*:app-base-oss"] } ], "Version": "1" } 获取STS Token 后对OSS的操作 结果 列出所有创建的Bucket 失败 上传不带前缀的Object，test.txt 失败 下载不带前缀的Object，test.txt 失败 上传带前缀的Object，user1/test.txt 成功 下载带前缀的Object，user1/test.txt 成功 列出Object，test.txt 成功 带前缀的Object，user1/test.txt 成功 总结 从上面的例子可以看出： 可以根据不同的应用场景制定不同的Policy，然后对应用服务器稍作修改就可以实现对不用的应用用户实现不同的权限控制。 可以在应用端做优化，使得STS Token过期之前不需要向应用服务器再次请求。 Token由STS颁发。应用服务器只是定制了Policy，向STS请求Token，然后将Token转发给应用。这里的Token包含了AccessKeyId、AccessKeySecret、Expiration、SecurityToken，这些参数在OSS提供给应用的SDK中会用到。详情请参见各语言SDK参考中的授权访问章节。 参考文档 RAM和STS在OSS中的使用指南 阿里云RAM官方文档 阿里云STS官方文档

为了防止 OSS 被盗链，保护 OSS 的资源安全，用户把 OSS 的 Bucket 权限 设置为私有权限，这样就需要带了签名参数的 URL 去访问。如果 CDN 加速 OSS 的访问 URL，不带 OSS 签名参数的话，就会导致 403。这种情况下可以开启阿里 云 OSS 私有 Bucket 回源授权。当开启私有 OSS Bucket 回源授权后，即表示开启 CDN 对所有 Bucket 的只读权限，CDN 在回源的时候会计算 OSS 的签名参数，从 而可以从 OSS 上正常获取资源。

详细解答可以参考官方帮助文档假如您在地域为华东1名为aliyun-abc的Bucket中上传了文件（Object）123.jpg，上传成功后该如何获取123.jpg的访问URL呢？ 如果Object是公共读/公共读写权限，那么访问URL的格式为：Bucket名称.Endpoint/Object名称 外网访问URL：aliyun-abc.oss-cn-hangzhou.aliyuncs.com/123.jpg阿里云内网ECS/VPC访问URL：aliyun-abc.oss-cn-hangzhou-internal.aliyuncs.com/123.jpg 说明：有关各个地域（Region）所对应的访问域名（Endpoint）信息，请参见访问域名和数据中心。 如果Object是私有权限，则必须进行签名操作。访问URL的格式为：Bucket名称.Endpoint/Object名称？签名参数。您可以通过以下任一方法获取Object的访问URL： 通过控制台获取Object的URL，请参考获取文件访问地址调用API的签名算法，请参考在URL中包含签名使用SDK生成签名： Java：授权访问Python：授权访问Android：访问控制iOS：访问控制.Net：授权访问Node-JS：授权访问Browser-JS：授权访问PHP：授权访问C：授权访问Ruby：授权访问Go：授权访问 更多信息请您参见OSS访问域名使用规则。

详细解答可以参考官方帮助文档假如您在地域为华东1名为aliyun-abc的Bucket中上传了文件（Object）123.jpg，上传成功后该如何获取123.jpg的访问URL呢？ 如果Object是公共读/公共读写权限，那么访问URL的格式为：Bucket名称.Endpoint/Object名称 外网访问URL：aliyun-abc.oss-cn-hangzhou.aliyuncs.com/123.jpg阿里云内网ECS/VPC访问URL：aliyun-abc.oss-cn-hangzhou-internal.aliyuncs.com/123.jpg 说明：有关各个地域（Region）所对应的访问域名（Endpoint）信息，请参见访问域名和数据中心。 如果Object是私有权限，则必须进行签名操作。访问URL的格式为：Bucket名称.Endpoint/Object名称？签名参数。您可以通过以下任一方法获取Object的访问URL： 通过控制台获取Object的URL，请参考获取文件访问地址调用API的签名算法，请参考在URL中包含签名使用SDK生成签名： Java：授权访问Python：授权访问Android：访问控制iOS：访问控制.Net：授权访问Node-JS：授权访问Browser-JS：授权访问PHP：授权访问C：授权访问Ruby：授权访问Go：授权访问 更多信息请您参见OSS访问域名使用规则。

详细解答可以参考官方帮助文档假如您在地域为华东1名为aliyun-abc的Bucket中上传了文件（Object）123.jpg，上传成功后该如何获取123.jpg的访问URL呢？ 如果Object是公共读/公共读写权限，那么访问URL的格式为：Bucket名称.Endpoint/Object名称 外网访问URL：aliyun-abc.oss-cn-hangzhou.aliyuncs.com/123.jpg阿里云内网ECS/VPC访问URL：aliyun-abc.oss-cn-hangzhou-internal.aliyuncs.com/123.jpg 说明：有关各个地域（Region）所对应的访问域名（Endpoint）信息，请参见访问域名和数据中心。 如果Object是私有权限，则必须进行签名操作。访问URL的格式为：Bucket名称.Endpoint/Object名称？签名参数。您可以通过以下任一方法获取Object的访问URL： 通过控制台获取Object的URL，请参考获取文件访问地址调用API的签名算法，请参考在URL中包含签名使用SDK生成签名： Java：授权访问Python：授权访问Android：访问控制iOS：访问控制.Net：授权访问Node-JS：授权访问Browser-JS：授权访问PHP：授权访问C：授权访问Ruby：授权访问Go：授权访问 更多信息请您参见OSS访问域名使用规则。

详细解答可以参考官方帮助文档假如您在地域为华东1名为aliyun-abc的Bucket中上传了文件（Object）123.jpg，上传成功后该如何获取123.jpg的访问URL呢？ 如果Object是公共读/公共读写权限，那么访问URL的格式为：Bucket名称.Endpoint/Object名称 外网访问URL：aliyun-abc.oss-cn-hangzhou.aliyuncs.com/123.jpg阿里云内网ECS/VPC访问URL：aliyun-abc.oss-cn-hangzhou-internal.aliyuncs.com/123.jpg 说明：有关各个地域（Region）所对应的访问域名（Endpoint）信息，请参见访问域名和数据中心。 如果Object是私有权限，则必须进行签名操作。访问URL的格式为：Bucket名称.Endpoint/Object名称？签名参数。您可以通过以下任一方法获取Object的访问URL： 通过控制台获取Object的URL，请参考获取文件访问地址调用API的签名算法，请参考在URL中包含签名使用SDK生成签名： Java：授权访问Python：授权访问Android：访问控制iOS：访问控制.Net：授权访问Node-JS：授权访问Browser-JS：授权访问PHP：授权访问C：授权访问Ruby：授权访问Go：授权访问 更多信息请您参见OSS访问域名使用规则。

详细解答可以参考官方帮助文档假如您在地域为华东1名为aliyun-abc的Bucket中上传了文件（Object）123.jpg，上传成功后该如何获取123.jpg的访问URL呢？ 如果Object是公共读/公共读写权限，那么访问URL的格式为：Bucket名称.Endpoint/Object名称 外网访问URL：aliyun-abc.oss-cn-hangzhou.aliyuncs.com/123.jpg阿里云内网ECS/VPC访问URL：aliyun-abc.oss-cn-hangzhou-internal.aliyuncs.com/123.jpg 说明：有关各个地域（Region）所对应的访问域名（Endpoint）信息，请参见访问域名和数据中心。 如果Object是私有权限，则必须进行签名操作。访问URL的格式为：Bucket名称.Endpoint/Object名称？签名参数。您可以通过以下任一方法获取Object的访问URL： 通过控制台获取Object的URL，请参考获取文件访问地址调用API的签名算法，请参考在URL中包含签名使用SDK生成签名： Java：授权访问Python：授权访问Android：访问控制iOS：访问控制.Net：授权访问Node-JS：授权访问Browser-JS：授权访问PHP：授权访问C：授权访问Ruby：授权访问Go：授权访问 更多信息请您参见OSS访问域名使用规则。