设置EndPoint和凭证

移动终端是一个不受信任的环境,把AccessKeyIdAccessKeySecret直接保存在终端用来加签请求,存在极高的风险。建议只在测试时使用明文设置模式,业务应用推荐使用STS鉴权模式自签名模式,详细请参考:访问控制移动端直传

如果用STS鉴权模式,推荐使用OSSAuthCredentialProvider方式直接访问鉴权应用服务器,token过期后可以自动更新。

更多信息可查看可查看sample 点击查看

设置EndPoint和CredentialProvider示例如下:

  1. NSString *endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
  3. //直接访问鉴权服务器(推荐,token过期后可以自动更新)
  4. id<OSSCredentialProvider> credential = [[OSSAuthCredentialProvider alloc] initWithAuthServerUrl:@"鉴权服务器地址,例如http://abc.com"];
  5. client = [[OSSClient alloc] initWithEndpoint:endPoint credentialProvider:credential];

提示:

初始化_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32057.html

访问控制_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32059.html

使用STS详细步骤

  1. App用户登录。

    App用户由您自己管理。您可以自定义身份管理系统,也可以使用外部Web账号或OpenID。对于每个有效的App用户来说,AppServer是可以确切地定义出每个App用户的最小访问权限。

  2. AppServer请求STS服务获取一个安全令牌(SecurityToken)。

    1. 在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。

    2. 通过调用STS的AssumeRole(扮演角色)接口来获取安全令牌。角色管理与使用相关内容请参考RAM使用指南中的角色管理。

  3. STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。

  4. AppServer将访问凭证返回给ClientApp。

    ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。

  5. ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,并正确响应用户请求。

注意:使用这种模式授权需要先开通阿里云RAM服务:单击查看

import json

from flask import Flask, jsonify, abort, make_response, request

import time

from aliyunsdkcore import client

from aliyunsdksts.request.v20150401 import AssumeRoleRequest

def getSts(uid):

    # 通过管理控制后台-访问控制 https://help.aliyun.com/product/28625.html

    # RAM控制台 https://ram.console.aliyun.com/

    # STS授权相关信息获取步骤:

    # 1.RAM控制台用户管理创建子用户(User)同时点击该用户创建并获取AccessKeyID和AccessKeySecret https://help.aliyun.com/document_detail/28637.html

    # 2.对该子用户(User) 授予AliyunSTSAssumeRoleAccess策略(必须),如需自定义策略请看 https://help.aliyun.com/document_detail/28640.html

    # 3.RAM控制台角色管理创建角色role,进行自定义授权设置(控制操作的内容),获取Arn https://help.aliyun.com/document_detail/28649.html

    # 注意点:

    # 只有子用户(User)才能调用 AssumeRole 接口

    # 阿里云主用户(Root User)的AccessKeys不能用于发起AssumeRole请求

    # python sdk说明

    # 构建一个 Aliyun Client, 用于发起请求

    # 构建Aliyun Client时需要设置AccessKeyId和AccessKeySevcret

    # STS是Global Service, API入口位于华东 1 (杭州) , 这里Region填写"cn-hangzhou"

    # clt = client.AcsClient('<access-key-id>','<access-key-secret>','cn-hangzhou')

    AccessKeyID = "************************"

    AccessKeySecret = "************************"

    roleArn = "************************"

    '''

    root

   accessKeyId = '1'

accessKeySecret = '2'

   '''

    '''

    //AccessKey详情

    AccessKeyID:

    1

    AccessKeySecret:

    2

    '''

    kid, ks = '1', '2'

    AccessKeyID, AccessKeySecret = kid, ks

    roleArn = 'acs:ram::3:role/aliyunosstokengeneratorrole'

    clt = client.AcsClient(AccessKeyID, AccessKeySecret, 'cn-hangzhou')

    # 构造"AssumeRole"请求

    request___ = AssumeRoleRequest.AssumeRoleRequest()

    # 指定角色 需要在 RAM 控制台上获取

    request___.set_RoleArn(roleArn)

    # RoleSessionName 是临时Token的会话名称,自己指定用于标识你的用户,主要用于审计,或者用于区分Token颁发给谁

    # 但是注意RoleSessionName的长度和规则,不要有空格,只能有'-' '.' '@' 字母和数字等字符

    # 具体规则请参考API文档中的格式要求

    '''

    #AssumeRole_操作接口_API 参考(STS)_访问控制-阿里云 https://help.aliyun.com/document_detail/28763.html

    RoleSessionName

    类型:String

    必须:是

    描述:用户自定义参数。此参数用来区分不同的Token,可用于用户级别的访问审计。

    格式:^[a-zA-Z0-9\.@\-_]+$ 2-32个字符

    '''

    request___.set_RoleSessionName(uid)

    # OSS Policy settings  could not set by default

    # can read https://help.aliyun.com/document_detail/56288.html

    # case https://help.aliyun.com/knowledge_detail/39717.html?spm=5176.product28625.6.735.5etPTf

    # case https://help.aliyun.com/knowledge_detail/39712.html?spm=5176.7739717.6.729.aZiRgD

    # 发起请求,并得到response

    try:

        response = clt.do_action_with_exception(request___)

        ## { "ErrorDump": "the JSON object must be str, not 'bytes'", "StatusCode": "500" }

        #        text = json.loads(response) win ok  linux  + .decode('utf-8')  加后 win 依然ok

        text = json.loads(response.decode('utf-8'))

        stsDict = dict().fromkeys(

            ['RequestId', 'uid', 'Expiration', 'AccessKeyId', 'AccessKeySecret', 'SecurityToken', 'StatusCode'])

        stsDict["RequestId"] = text["RequestId"]

        stsDict["uid"] = uid

        stsDict['Expiration'] = text["Credentials"]['Expiration']

        stsDict["AccessKeyId"] = text["Credentials"]["AccessKeyId"]

        stsDict["AccessKeySecret"] = text["Credentials"]["AccessKeySecret"]

        stsDict['SecurityToken'] = text["Credentials"]['SecurityToken']

        stsDict["StatusCode"] = "200"

        # stsText = json.dumps(stsDict)

        print('-----------》')

        print(stsDict)

        print('《-----------')

        return stsDict

    except Exception as e:

        print(e)

        # errorDict = dict().fromkeys(['StatusCode', 'ErrorCode', 'ErrorMessage'])

        errorDict = dict().fromkeys(['StatusCode', 'ErrorDump'])

        errorDict["StatusCode"] = "500"

        # errorDict["ErrorMessage"] = e.message

        # errorDict["ErrorCode"] = e.error_code

        errorDict["ErrorDump"] = '{}'.format(e)

        # stsText = json.dumps(errorDict)

        return errorDict

    # return stsText

    pass

aliBridge = Flask(__name__)

aliBridge.config['JSON_AS_ASCII'] = False

@aliBridge.route('/v1.0/aliBridge/aliyunosstokengenerator', methods=['POST'])

def aliyunosstokengeneratorrole():

    if not request.json:

        abort(400)

    chk_k = ['ipv4', 'imei', 'kid', 'ks']

    ipv4, imei, kid, ks = request.json['ipv4'], request.json['imei'], request.json['kid'], request.json['ks']

    #    ipv4, imei, kid, ks = request.json[0:4]

    uid = 'ipv4@{}@imei@{}'.format(ipv4, imei)

    uid = '{}@{}'.format(ipv4, imei)

    # uid ='ipv4__123__imei_123',

    if (kid, ks) != ('ourServerKeyId', 'ourServerKeyValue'):

        abort(400)

    for c in chk_k:

        if c not in request.json:

            abort(400)

    # task = {

    #     'uid': request.json['uid'],

    #     # 'uid': request,

    #     'no_open': 12,

    #     'no_ad': 34,

    #     'description': '该uid在ad_direct_order中共计123条当前未失效,其中12条打不开相应页面,34条页面中没有我司广告位',

    #     'cost_time': 123,

    #     'request_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time() - 123)),

    #     'current_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time()))

    # }

    # return jsonify({'status': '1', 'info': task}), 201

    task = getSts(uid)

    return jsonify(task), 201

'''

{

"ipv4":"197.164.165.154","imei":"123456789012347","kid":"ourServerKeyId","ks":"ourServerKeyValue"

}

'''

if __name__ == '__main__':

    aliBridge.run(host='0.0.0.0', port=5001, debug=True)

  

鉴权应用服务器 app客户端 web服务端 安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)的更多相关文章

  1. spring-oauth-server实践:客户端和服务端环境搭建

    客户端:http://localhost:8080/spring-oauth-client/index.jsp 服务端:http://localhost:8080/spring-oauth-serve ...

  2. IOS开发系列之阿堂教程:玩转IPhone客户端和Web服务端交互(客户端)实践

    说到ios的应用开发,我们不能不提到web server服务端,如果没有服务端的支持,ios应用开发就没有多大意义了,因为从事过手机开发的朋友都知道(Android也一样),大量复杂业务的处理和数据库 ...

  3. winform客户端利用webClient实现与Web服务端的数据传输

    由于项目需要,最近研究了下WebClient的数据传输.关于WebClient介绍网上有很多详细介绍,大概就是利用WebClient可以实现对Internet资源的访问.无外乎客户端发送请求,服务端处 ...

  4. SignalR 实现web浏览器客户端与服务端的推送功能

    SignalR 是一个集成的客户端与服务器库,基于浏览器的客户端和基于 ASP.NET 的服务器组件可以借助它来进行双向多步对话. 换句话说,该对话可不受限制地进行单个无状态请求/响应数据交换:它将继 ...

  5. Delphi XE5通过WebService开发Web服务端和手机客户端

    Delphi XE5通过WebService开发Web服务端和手机客户端介绍 我们开发一个三层的android程序 建立一个webservices  stand-alone vcl applicati ...

  6. TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况

    TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况 请访问原文链接:https://sysin.org/blog/tlsv1-3-support/,查看最新版. ...

  7. Android客户端与服务端交互之登陆示例

    Android客户端与服务端交互之登陆示例 今天了解了一下android客户端与服务端是怎样交互的,发现其实跟web有点类似吧,然后网上找了大神的登陆示例,是基于IntentService的 1.后台 ...

  8. Web服务端性能提升实践

    随着互联网的不断发展,日常生活中越来越多的需求通过网络来实现,从衣食住行到金融教育,从口袋到身份,人们无时无刻不依赖着网络,而且越来越多的人通过网络来完成自己的需求. 作为直接面对来自客户请求的Web ...

  9. 在HTTP通讯过程中,是客户端还是服务端主动断开连接?

    比如说:IE访问IIS,获取文件,肯定是要建立一个连接,这个连接在完成通讯后,是客户端Close了连接,还是服务端Close了连接.我用程序测模拟IE和IIS,都没有收到断开连接的消息,也就是都没有触 ...

随机推荐

  1. mysql优化之参数优化(转)

    1.优化方式 硬件优化=>系统优化=>mysql配置优化=>SCHEMA优化=>sql优化=>其他解决方案(redis or MongoDB or Cassandra o ...

  2. python中unicode, hex, bin之间的转换

    python中unicode, hex, bin之间的转换 背景 在smb中有个feature change notify, 需要改动文件权限dacl,然后确认是否有收到notify.一直得不到这个d ...

  3. ExtJS前端框架EXT弹出窗口事件

    https://blog.csdn.net/alsyuan/article/details/73240841 Ext.MessageBox.alert()Ext.MessageBox.alert()提 ...

  4. 一个监控oracle数据库某个字段值变化并发送邮件报警的脚本

    talk is cheap,here is the code: #!/bin/sh export ORACLE_HOME=/u01/app/oracle/product//client_1/ expo ...

  5. NYOJ 237 游戏高手的烦恼

    游戏高手的烦恼时间限制:1000 ms | 内存限制:65535 KB难度:5描述有一位传说级游戏高手,在闲暇时间里玩起了一个小游戏,游戏中,一个n*n的方块形区域里有许多敌人,玩家可以使用炸弹炸掉某 ...

  6. GO 语言周报【七月第 1 期】

    TIOBE 七月排名 Go 进入前十 TIOBE 七月头条:Go 语言达到历史最高并进入前十.对于 Go 语言来说,这是一个里程碑时刻,我们可以更大胆地想象,它下一步的发展会达到怎样的高度.Go 是否 ...

  7. 【BZOJ1061】志愿者招募(单纯形,对偶性)

    题意: 这个项目需要N 天才能完成,其中第i 天至少需要 Ai 个人. 布布通过了解得知,一共有M 类志愿者可以招募.其中第i 类可以从第Si 天工作到第Ti 天,招募费用 是每人Ci 元.新官上任三 ...

  8. C语言基本概念之表达式

    原文地址:http://blog.csdn.net/astrotycoon/article/details/50857326 [侵删] 什么是表达式(表达式的定义)? 对于表达式的定义,好像从来没有人 ...

  9. 【转载】js中对象的使用

    原文链接:http://www.jb51.net/article/90256.htm[侵删] 简单记录javascript中对象的使用 一.创建对象 //创建一个空对象 var o={}; //创建一 ...

  10. ThinkPHP __construct和_initialize的使用

    ThinkPHP框架中的__construct和_initialize的使用 父类(PlatformController.class.php): class PlatformController ex ...