阿里云STS token浅析

非常想搞明白STS token在端上是如何使用的。因为OSS跟STS联系比较紧密,所以把这两个家伙一起研究了一下。里面有一些环节我现在也没搞太明白,只是记录一下,以后搞明白了再完善。

配置账号及角色

去RAM里面设置好子账号和角色,子账号需要AliyunSTSAssumeRoleAccess权限,角色需要AliyunOSSFullAccess权限。子账号需要有扮演OSS存取这个角色的能力,成功扮演该角色之后,就具有操作OSS资源的能力了。关于用户和角色关系,RAM和STS介绍里面有比较详细的描述。

这里有一个坑是角色一定要选择用户角色。之前错误选择了服务角色,导致AssumeRole一直提示无权限。

screenshot.png

获取STS token

  • 安装好Python SDK。Python测试起来比较方便。
pip install oss2
  • 运行脚本,获取STS token。
#!/usr/bin/env python
#coding=utf-8

from aliyunsdkcore import client
from aliyunsdksts.request.v20150401 import AssumeRoleRequest

clt = client.AcsClient('access key id', 'access key secret', 'cn-shanghai')

# 构造"AssumeRole"请求
request = AssumeRoleRequest.AssumeRoleRequest()

# 指定角色
request.set_RoleArn('acs:ram::1532770894211314:role/henshaoread2')

# 设置会话名称,审计服务使用此名称区分调用者
request.set_RoleSessionName('henshao')

#request.set_method('HMAC-SHA1')

# 发起请求,并得到response
response = clt.do_action_with_exception(request)

实际发出来的请求如下所示。STS API和签名规则可以参考STS文档

/?RoleSessionName=henshao
&Format=json
&Timestamp=2017-04-28T08%3A16%3A06Z
&RoleArn=acs%3Aram%3A%3A1532770894211314%3Arole%2Fhenshaoread2
&RegionId=cn-shanghai
&SignatureVersion=1.0
&AccessKeyId=LTAIAVqsmhvxNjGN
&SignatureMethod=HMAC-SHA1
&Version=2015-04-01
&Signature=9geUPq00G2g1tInX3XSvk77HZhY%3D
&Action=AssumeRole
&SignatureNonce=cc636798-de57-4c11-beb5-567124635220
  • 返回的STS token如下所示,里面包含了AK id、AK secret)和security token。
screenshot.png

另外一种获取STS token的方式是使用aliyuncli工具,也是非常方便的。

$ aliyuncli sts AssumeRole --AccessKeyId xxx --AccessKeySecret xxx --RoleArn xxx --RoleSessionName xxx
{
    "AssumedRoleUser": {
        "AssumedRoleId": "389053493353396514:henshao", 
        "Arn": "acs:ram::1532770894211314:role/henshaoread2/henshao"
    }, 
    "Credentials": {
        "AccessKeySecret": "4s7GoYW7bbFLqe3XGbiMdjveaHEvU1bNBNxdXPtkgLK2", 
        "SecurityToken": "CAIS8gF1q6Ft5B2yfSjIrIXFet3ArJFY1vamUB/3jHcbdLtt16jJ2jz2IHBFfHRrBeEdtfk0n2FW6/8elq5zRpleRUXDNQG7TybIslHPWZHInuDox55m4cTXNAr+Ihr/29CoEIedZdjBe/CrRknZnytou9XTfimjWFrXWv/gy+QQDLItUxK/cCBNCfpPOwJms7V6D3bKMuu3OROY6Qi5TmgQ41cn0zwgsfTunpfFs0GH0GeXkLFF+97DRbG/dNRpMZtFVNO44fd7bKKp0lQLu0kSqfwq3fcfpGyc74/AWgVLhxWLNfHU+9p1IQZ1PLigomnpBFFI/xqAAazzStWsfFdf3btxxYkakt15g06RJeGi/uKqElMfEGIRJ+vjHtLzFqyjtJJV7gLWgkSeinqglonDuRjcfy/oTPcpQ4u3SCcOh1X/e13jVbc1SuaIGnWOCbDFqtxH68+BcTSMl7rZCd/JfDIKIpWmtWBcL1HFkpRTG3Hd04BmB0PY", 
        "Expiration": "2017-11-02T06:01:53Z", 
        "AccessKeyId": "STS.MFp1gtANya4MR9FhwNx4A8mb8"
    }, 
    "RequestId": "14AA9E4A-EEF0-403A-9367-3255E836F382"
}

OSS客户端使用STS token获取文件

拿到STS token,客户端上就可以操作OSS资源了。

id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"STS.DSVjYCefVuXKNP9CTyCfy83Uf" secretKeyId:@"7raTtc4LK3ZtHrw8wWse7sbWAJypWdox3cpp5nYwxdDk" securityToken:@"CAIS8gF1q6Ft5B2yfSjIpZDjIeP3iLl3wpqgTHaIp1QsT+lV1/b+hDz2IHBFfHRrBeEdtfk0n2FW6/8elq5zRpleRUXDNSGpOWeEslHPWZHInuDox55m4cTXNAr+Ihr/29CoEIedZdjBe/CrRknZnytou9XTfimjWFrXWv/gy+QQDLItUxK/cCBNCfpPOwJms7V6D3bKMuu3OROY6Qi5TmgQ41cn0zwgsfTunpfFs0GH0GeXkLFF+97DRbG/dNRpMZtFVNO44fd7bKKp0lQLu0kSqfwq3fcfpGyc74/AWgVLhxWLNfHU+9p1IQZ1PLigomnpBFFI/xqAAU0Ia5eMa0XreO/Uh0K6RXJmk9q8dEKrhhMuDEtCK/EUyb+v/8WSfeYez3z2wl9V5Pi7iUSFRciQKHnGyIVAVmBCGWvAZOad83dI8tft8Ks16/mER/wpysTKOcr+rrdn+JnPJDSFDKD5JBJSr0KXR1bbMU+9b0Nrej0P8kVwbhYd"];

OSSClient *client = [[OSSClient alloc] initWithEndpoint:@"oss-cn-shanghai.aliyuncs.com" credentialProvider:credential];

OSSGetObjectRequest * request = [OSSGetObjectRequest new];

request.bucketName = @"wla-test2";
request.objectKey = @"DragonMedium.png";

request.downloadProgress = ^(int64_t bytesWritten, int64_t totalBytesWritten, int64_t totalBytesExpectedToWrite) {
    NSLog(@"%lld, %lld, %lld", bytesWritten, totalBytesWritten, totalBytesExpectedToWrite);
};

OSSTask * getTask = [client getObject:request];
[getTask continueWithBlock:^id(OSSTask *task) {
    if (!task.error) {
        NSLog(@"download object success!");
        OSSGetObjectResult * getResult = task.result;
        NSLog(@"download result: %@", getResult.downloadedData);

        UIImage *image = [[UIImage alloc] initWithData: getResult.downloadedData];
        image = nil;
    } else {
        NSLog(@"download object failed, error: %@" ,task.error);
    }
    return nil;
}];

成功获取到DragonMedium.png这张图片。

screenshot.png

稍微分析了一下OSS SDK里面的细节。在header里面有两个重要的字段,Authorization = "OSS " + AK.Id + ":" + sign,x-oss-security-token则是security token。

(lldb) po requestMessage.headerParams
{
    Authorization = "OSS STS.DSVjYCefVuXKNP9CTyCfy83Uf:spZmloXZZJZFBCE8st9fvRxKLag=";
    "User-Agent" = "aliyun-sdk-ios/2.6.0/iOS/10.3/en_US";
    "x-oss-security-token" = "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";
}

参考资料

  1. OSS访问控制
  2. OSS访问控制-iOS端
  3. OAuth2.0协议原理与实现:TOKEN生成算法
  4. 小米帐户 OAuth 2.0 文档
  5. 百度云访问控制

最后非常感谢 @周卓 大神的鼎力支持😀

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,511评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,495评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,595评论 0 225
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,558评论 0 190
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,715评论 3 270
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,672评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,112评论 2 291
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,837评论 0 181
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,417评论 0 228
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,928评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,316评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,773评论 2 234
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,253评论 3 220
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,827评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,440评论 0 180
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,523评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,583评论 2 249

推荐阅读更多精彩内容

  • OSS: Object Storage Service 初次接触之控制台操作 操作教程地址 开通40g/年 9块钱...
    __damon__阅读 7,464评论 0 7
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,048评论 18 139
  • 阿里云的权限控制分为账号、角色和策略三个概念。账号包括主账号和子账号。策略可以直接附加到账号上面,当然更正规的做法...
    阿呆少爷阅读 5,471评论 3 1
  • 数据采集(获取) 用户本地上传爬虫 数据存储 使用阿里云OSS,可以通过网络随时存储和调用包括文本、图片、音频和视...
    一点前睡觉阅读 347评论 0 0
  • 今晚的主题 《团队打造》 是我们都需要学习的主题。很巧合的是sophie今晚来西海岸了,可以给我们做工作坊,太棒了...
    luna2020阅读 246评论 0 2