设置EndPoint和凭证

移动终端是一个不受信任的环境,把AccessKeyIdAccessKeySecret直接保存在终端用来加签请求,存在极高的风险。建议只在测试时使用明文设置模式,业务应用推荐使用STS鉴权模式自签名模式,详细请参考:访问控制移动端直传

如果用STS鉴权模式,推荐使用OSSAuthCredentialProvider方式直接访问鉴权应用服务器,token过期后可以自动更新。

更多信息可查看可查看sample 点击查看

设置EndPoint和CredentialProvider示例如下:

  1. NSString *endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
  3. //直接访问鉴权服务器(推荐,token过期后可以自动更新)
  4. id<OSSCredentialProvider> credential = [[OSSAuthCredentialProvider alloc] initWithAuthServerUrl:@"鉴权服务器地址,例如http://abc.com"];
  5. client = [[OSSClient alloc] initWithEndpoint:endPoint credentialProvider:credential];

提示:

初始化_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32057.html

访问控制_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32059.html

使用STS详细步骤

  1. App用户登录。

    App用户由您自己管理。您可以自定义身份管理系统,也可以使用外部Web账号或OpenID。对于每个有效的App用户来说,AppServer是可以确切地定义出每个App用户的最小访问权限。

  2. AppServer请求STS服务获取一个安全令牌(SecurityToken)。

    1. 在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。

    2. 通过调用STS的AssumeRole(扮演角色)接口来获取安全令牌。角色管理与使用相关内容请参考RAM使用指南中的角色管理。

  3. STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。

  4. AppServer将访问凭证返回给ClientApp。

    ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。

  5. ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,并正确响应用户请求。

注意:使用这种模式授权需要先开通阿里云RAM服务:单击查看

import json

from flask import Flask, jsonify, abort, make_response, request

import time

from aliyunsdkcore import client

from aliyunsdksts.request.v20150401 import AssumeRoleRequest

def getSts(uid):

    # 通过管理控制后台-访问控制 https://help.aliyun.com/product/28625.html

    # RAM控制台 https://ram.console.aliyun.com/

    # STS授权相关信息获取步骤:

    # 1.RAM控制台用户管理创建子用户(User)同时点击该用户创建并获取AccessKeyID和AccessKeySecret https://help.aliyun.com/document_detail/28637.html

    # 2.对该子用户(User) 授予AliyunSTSAssumeRoleAccess策略(必须),如需自定义策略请看 https://help.aliyun.com/document_detail/28640.html

    # 3.RAM控制台角色管理创建角色role,进行自定义授权设置(控制操作的内容),获取Arn https://help.aliyun.com/document_detail/28649.html

    # 注意点:

    # 只有子用户(User)才能调用 AssumeRole 接口

    # 阿里云主用户(Root User)的AccessKeys不能用于发起AssumeRole请求

    # python sdk说明

    # 构建一个 Aliyun Client, 用于发起请求

    # 构建Aliyun Client时需要设置AccessKeyId和AccessKeySevcret

    # STS是Global Service, API入口位于华东 1 (杭州) , 这里Region填写"cn-hangzhou"

    # clt = client.AcsClient('<access-key-id>','<access-key-secret>','cn-hangzhou')

    AccessKeyID = "************************"

    AccessKeySecret = "************************"

    roleArn = "************************"

    '''

    root

   accessKeyId = '1'

accessKeySecret = '2'

   '''

    '''

    //AccessKey详情

    AccessKeyID:

    1

    AccessKeySecret:

    2

    '''

    kid, ks = '1', '2'

    AccessKeyID, AccessKeySecret = kid, ks

    roleArn = 'acs:ram::3:role/aliyunosstokengeneratorrole'

    clt = client.AcsClient(AccessKeyID, AccessKeySecret, 'cn-hangzhou')

    # 构造"AssumeRole"请求

    request___ = AssumeRoleRequest.AssumeRoleRequest()

    # 指定角色 需要在 RAM 控制台上获取

    request___.set_RoleArn(roleArn)

    # RoleSessionName 是临时Token的会话名称,自己指定用于标识你的用户,主要用于审计,或者用于区分Token颁发给谁

    # 但是注意RoleSessionName的长度和规则,不要有空格,只能有'-' '.' '@' 字母和数字等字符

    # 具体规则请参考API文档中的格式要求

    '''

    #AssumeRole_操作接口_API 参考(STS)_访问控制-阿里云 https://help.aliyun.com/document_detail/28763.html

    RoleSessionName

    类型:String

    必须:是

    描述:用户自定义参数。此参数用来区分不同的Token,可用于用户级别的访问审计。

    格式:^[a-zA-Z0-9\.@\-_]+$ 2-32个字符

    '''

    request___.set_RoleSessionName(uid)

    # OSS Policy settings  could not set by default

    # can read https://help.aliyun.com/document_detail/56288.html

    # case https://help.aliyun.com/knowledge_detail/39717.html?spm=5176.product28625.6.735.5etPTf

    # case https://help.aliyun.com/knowledge_detail/39712.html?spm=5176.7739717.6.729.aZiRgD

    # 发起请求,并得到response

    try:

        response = clt.do_action_with_exception(request___)

        ## { "ErrorDump": "the JSON object must be str, not 'bytes'", "StatusCode": "500" }

        #        text = json.loads(response) win ok  linux  + .decode('utf-8')  加后 win 依然ok

        text = json.loads(response.decode('utf-8'))

        stsDict = dict().fromkeys(

            ['RequestId', 'uid', 'Expiration', 'AccessKeyId', 'AccessKeySecret', 'SecurityToken', 'StatusCode'])

        stsDict["RequestId"] = text["RequestId"]

        stsDict["uid"] = uid

        stsDict['Expiration'] = text["Credentials"]['Expiration']

        stsDict["AccessKeyId"] = text["Credentials"]["AccessKeyId"]

        stsDict["AccessKeySecret"] = text["Credentials"]["AccessKeySecret"]

        stsDict['SecurityToken'] = text["Credentials"]['SecurityToken']

        stsDict["StatusCode"] = "200"

        # stsText = json.dumps(stsDict)

        print('-----------》')

        print(stsDict)

        print('《-----------')

        return stsDict

    except Exception as e:

        print(e)

        # errorDict = dict().fromkeys(['StatusCode', 'ErrorCode', 'ErrorMessage'])

        errorDict = dict().fromkeys(['StatusCode', 'ErrorDump'])

        errorDict["StatusCode"] = "500"

        # errorDict["ErrorMessage"] = e.message

        # errorDict["ErrorCode"] = e.error_code

        errorDict["ErrorDump"] = '{}'.format(e)

        # stsText = json.dumps(errorDict)

        return errorDict

    # return stsText

    pass

aliBridge = Flask(__name__)

aliBridge.config['JSON_AS_ASCII'] = False

@aliBridge.route('/v1.0/aliBridge/aliyunosstokengenerator', methods=['POST'])

def aliyunosstokengeneratorrole():

    if not request.json:

        abort(400)

    chk_k = ['ipv4', 'imei', 'kid', 'ks']

    ipv4, imei, kid, ks = request.json['ipv4'], request.json['imei'], request.json['kid'], request.json['ks']

    #    ipv4, imei, kid, ks = request.json[0:4]

    uid = 'ipv4@{}@imei@{}'.format(ipv4, imei)

    uid = '{}@{}'.format(ipv4, imei)

    # uid ='ipv4__123__imei_123',

    if (kid, ks) != ('ourServerKeyId', 'ourServerKeyValue'):

        abort(400)

    for c in chk_k:

        if c not in request.json:

            abort(400)

    # task = {

    #     'uid': request.json['uid'],

    #     # 'uid': request,

    #     'no_open': 12,

    #     'no_ad': 34,

    #     'description': '该uid在ad_direct_order中共计123条当前未失效,其中12条打不开相应页面,34条页面中没有我司广告位',

    #     'cost_time': 123,

    #     'request_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time() - 123)),

    #     'current_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time()))

    # }

    # return jsonify({'status': '1', 'info': task}), 201

    task = getSts(uid)

    return jsonify(task), 201

'''

{

"ipv4":"197.164.165.154","imei":"123456789012347","kid":"ourServerKeyId","ks":"ourServerKeyValue"

}

'''

if __name__ == '__main__':

    aliBridge.run(host='0.0.0.0', port=5001, debug=True)

  

鉴权应用服务器 app客户端 web服务端 安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)的更多相关文章

  1. spring-oauth-server实践:客户端和服务端环境搭建

    客户端:http://localhost:8080/spring-oauth-client/index.jsp 服务端:http://localhost:8080/spring-oauth-serve ...

  2. IOS开发系列之阿堂教程:玩转IPhone客户端和Web服务端交互(客户端)实践

    说到ios的应用开发,我们不能不提到web server服务端,如果没有服务端的支持,ios应用开发就没有多大意义了,因为从事过手机开发的朋友都知道(Android也一样),大量复杂业务的处理和数据库 ...

  3. winform客户端利用webClient实现与Web服务端的数据传输

    由于项目需要,最近研究了下WebClient的数据传输.关于WebClient介绍网上有很多详细介绍,大概就是利用WebClient可以实现对Internet资源的访问.无外乎客户端发送请求,服务端处 ...

  4. SignalR 实现web浏览器客户端与服务端的推送功能

    SignalR 是一个集成的客户端与服务器库,基于浏览器的客户端和基于 ASP.NET 的服务器组件可以借助它来进行双向多步对话. 换句话说,该对话可不受限制地进行单个无状态请求/响应数据交换:它将继 ...

  5. Delphi XE5通过WebService开发Web服务端和手机客户端

    Delphi XE5通过WebService开发Web服务端和手机客户端介绍 我们开发一个三层的android程序 建立一个webservices  stand-alone vcl applicati ...

  6. TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况

    TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况 请访问原文链接:https://sysin.org/blog/tlsv1-3-support/,查看最新版. ...

  7. Android客户端与服务端交互之登陆示例

    Android客户端与服务端交互之登陆示例 今天了解了一下android客户端与服务端是怎样交互的,发现其实跟web有点类似吧,然后网上找了大神的登陆示例,是基于IntentService的 1.后台 ...

  8. Web服务端性能提升实践

    随着互联网的不断发展,日常生活中越来越多的需求通过网络来实现,从衣食住行到金融教育,从口袋到身份,人们无时无刻不依赖着网络,而且越来越多的人通过网络来完成自己的需求. 作为直接面对来自客户请求的Web ...

  9. 在HTTP通讯过程中,是客户端还是服务端主动断开连接?

    比如说:IE访问IIS,获取文件,肯定是要建立一个连接,这个连接在完成通讯后,是客户端Close了连接,还是服务端Close了连接.我用程序测模拟IE和IIS,都没有收到断开连接的消息,也就是都没有触 ...

随机推荐

  1. Feedback on Ch5 paper based on CFD-RANS

    It is encouraging that you took the initiative to write this journal manuscript, but it needs a lot ...

  2. Spring Boot 集成Angular程序

    假设 1.你已经完成了Spring Boot的示例,在浏览其中输入http://localhost:8080/index,能够返回html页面. 2.你已经完成了Angular程序,名字为quicks ...

  3. 【HIHOCODER 1038】 01背包

    链接 问题描述 且说上一周的故事里,小Hi和小Ho费劲心思终于拿到了茫茫多的奖券!而现在,终于到了小Ho领取奖励的时刻了! 小Ho现在手上有M张奖券,而奖品区有N件奖品,分别标号为1到N,其中第i件奖 ...

  4. Vijos 1308 埃及分数(迭代加深搜索)

    题意: 输入a.b, 求a/b 可以由多少个埃及分数组成. 埃及分数是形如1/a , a是自然数的分数. 如2/3 = 1/2 + 1/6, 但埃及分数中不允许有相同的 ,如不可以2/3 = 1/3 ...

  5. virtualbox创建虚机后配置网络上网

    一般来说常用的会配置两个网卡:(两个网卡应该在安装虚拟机之前就设置好) 1.NAT网络: 用于上外网: 2.host-only: 用于ssh连接,可以被其他人远程访问. 前提: 如图:在virtual ...

  6. JSP表达式语言(EL)

    JSP表达式语言(EL)使得访问存储在JavaBean中的数据变得非常简单.JSP  EL既可以用来创建算术表达式也可以用来创建逻辑表达式.在JSP  EL表达式内可以使用整数型.浮点型.字符串.常量 ...

  7. Leetcode 304.二维区域和检索-矩阵不可变

    二维区域和检索 - 矩阵不可变 给定一个二维矩阵,计算其子矩形范围内元素的总和,该子矩阵的左上角为 (row1, col1) ,右下角为 (row2, col2). 上图子矩阵左上角 (row1, c ...

  8. CSU 1307 最短路+二分

    题目大意: 帮忙找到一条a到b的最短路,前提是要保证路上经过的站点的最大距离尽可能短 这道题居然要用到二分...完全没去想过,现在想想求最大距离的最小值确实是... 这里不断二分出值代入spfa()或 ...

  9. Codeforces225B - Well-known Numbers

    Portal Description 定义\(k\)-bonacci数列\(\{F_n\}\):\(F_i=0 \ (i<k),F_i=1 \ (i=k),F_i=\sum_{j=i-k}^{i ...

  10. 【网络流】codeforces C. Heidi and Library (hard)

    http://codeforces.com/contest/802/problem/C