设置EndPoint和凭证

移动终端是一个不受信任的环境,把AccessKeyIdAccessKeySecret直接保存在终端用来加签请求,存在极高的风险。建议只在测试时使用明文设置模式,业务应用推荐使用STS鉴权模式自签名模式,详细请参考:访问控制移动端直传

如果用STS鉴权模式,推荐使用OSSAuthCredentialProvider方式直接访问鉴权应用服务器,token过期后可以自动更新。

更多信息可查看可查看sample 点击查看

设置EndPoint和CredentialProvider示例如下:

  1. NSString *endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
  3. //直接访问鉴权服务器(推荐,token过期后可以自动更新)
  4. id<OSSCredentialProvider> credential = [[OSSAuthCredentialProvider alloc] initWithAuthServerUrl:@"鉴权服务器地址,例如http://abc.com"];
  5. client = [[OSSClient alloc] initWithEndpoint:endPoint credentialProvider:credential];

提示:

初始化_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32057.html

访问控制_iOS-SDK_SDK 参考_对象存储 OSS-阿里云 https://help.aliyun.com/document_detail/32059.html

使用STS详细步骤

  1. App用户登录。

    App用户由您自己管理。您可以自定义身份管理系统,也可以使用外部Web账号或OpenID。对于每个有效的App用户来说,AppServer是可以确切地定义出每个App用户的最小访问权限。

  2. AppServer请求STS服务获取一个安全令牌(SecurityToken)。

    1. 在调用STS之前,AppServer需要确定App用户的最小访问权限(用Policy语法描述)以及授权的过期时间。

    2. 通过调用STS的AssumeRole(扮演角色)接口来获取安全令牌。角色管理与使用相关内容请参考RAM使用指南中的角色管理。

  3. STS返回给AppServer一个有效的访问凭证,包括一个安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)以及过期时间。

  4. AppServer将访问凭证返回给ClientApp。

    ClientApp可以缓存这个凭证。当凭证失效时,ClientApp需要向AppServer申请新的有效访问凭证。比如,访问凭证有效期为1小时,那么ClientApp可以每30分钟向AppServer请求更新访问凭证。

  5. ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证,并会依赖STS服务来验证访问凭证,并正确响应用户请求。

注意:使用这种模式授权需要先开通阿里云RAM服务:单击查看

import json

from flask import Flask, jsonify, abort, make_response, request

import time

from aliyunsdkcore import client

from aliyunsdksts.request.v20150401 import AssumeRoleRequest

def getSts(uid):

    # 通过管理控制后台-访问控制 https://help.aliyun.com/product/28625.html

    # RAM控制台 https://ram.console.aliyun.com/

    # STS授权相关信息获取步骤:

    # 1.RAM控制台用户管理创建子用户(User)同时点击该用户创建并获取AccessKeyID和AccessKeySecret https://help.aliyun.com/document_detail/28637.html

    # 2.对该子用户(User) 授予AliyunSTSAssumeRoleAccess策略(必须),如需自定义策略请看 https://help.aliyun.com/document_detail/28640.html

    # 3.RAM控制台角色管理创建角色role,进行自定义授权设置(控制操作的内容),获取Arn https://help.aliyun.com/document_detail/28649.html

    # 注意点:

    # 只有子用户(User)才能调用 AssumeRole 接口

    # 阿里云主用户(Root User)的AccessKeys不能用于发起AssumeRole请求

    # python sdk说明

    # 构建一个 Aliyun Client, 用于发起请求

    # 构建Aliyun Client时需要设置AccessKeyId和AccessKeySevcret

    # STS是Global Service, API入口位于华东 1 (杭州) , 这里Region填写"cn-hangzhou"

    # clt = client.AcsClient('<access-key-id>','<access-key-secret>','cn-hangzhou')

    AccessKeyID = "************************"

    AccessKeySecret = "************************"

    roleArn = "************************"

    '''

    root

   accessKeyId = '1'

accessKeySecret = '2'

   '''

    '''

    //AccessKey详情

    AccessKeyID:

    1

    AccessKeySecret:

    2

    '''

    kid, ks = '1', '2'

    AccessKeyID, AccessKeySecret = kid, ks

    roleArn = 'acs:ram::3:role/aliyunosstokengeneratorrole'

    clt = client.AcsClient(AccessKeyID, AccessKeySecret, 'cn-hangzhou')

    # 构造"AssumeRole"请求

    request___ = AssumeRoleRequest.AssumeRoleRequest()

    # 指定角色 需要在 RAM 控制台上获取

    request___.set_RoleArn(roleArn)

    # RoleSessionName 是临时Token的会话名称,自己指定用于标识你的用户,主要用于审计,或者用于区分Token颁发给谁

    # 但是注意RoleSessionName的长度和规则,不要有空格,只能有'-' '.' '@' 字母和数字等字符

    # 具体规则请参考API文档中的格式要求

    '''

    #AssumeRole_操作接口_API 参考(STS)_访问控制-阿里云 https://help.aliyun.com/document_detail/28763.html

    RoleSessionName

    类型:String

    必须:是

    描述:用户自定义参数。此参数用来区分不同的Token,可用于用户级别的访问审计。

    格式:^[a-zA-Z0-9\.@\-_]+$ 2-32个字符

    '''

    request___.set_RoleSessionName(uid)

    # OSS Policy settings  could not set by default

    # can read https://help.aliyun.com/document_detail/56288.html

    # case https://help.aliyun.com/knowledge_detail/39717.html?spm=5176.product28625.6.735.5etPTf

    # case https://help.aliyun.com/knowledge_detail/39712.html?spm=5176.7739717.6.729.aZiRgD

    # 发起请求,并得到response

    try:

        response = clt.do_action_with_exception(request___)

        ## { "ErrorDump": "the JSON object must be str, not 'bytes'", "StatusCode": "500" }

        #        text = json.loads(response) win ok  linux  + .decode('utf-8')  加后 win 依然ok

        text = json.loads(response.decode('utf-8'))

        stsDict = dict().fromkeys(

            ['RequestId', 'uid', 'Expiration', 'AccessKeyId', 'AccessKeySecret', 'SecurityToken', 'StatusCode'])

        stsDict["RequestId"] = text["RequestId"]

        stsDict["uid"] = uid

        stsDict['Expiration'] = text["Credentials"]['Expiration']

        stsDict["AccessKeyId"] = text["Credentials"]["AccessKeyId"]

        stsDict["AccessKeySecret"] = text["Credentials"]["AccessKeySecret"]

        stsDict['SecurityToken'] = text["Credentials"]['SecurityToken']

        stsDict["StatusCode"] = "200"

        # stsText = json.dumps(stsDict)

        print('-----------》')

        print(stsDict)

        print('《-----------')

        return stsDict

    except Exception as e:

        print(e)

        # errorDict = dict().fromkeys(['StatusCode', 'ErrorCode', 'ErrorMessage'])

        errorDict = dict().fromkeys(['StatusCode', 'ErrorDump'])

        errorDict["StatusCode"] = "500"

        # errorDict["ErrorMessage"] = e.message

        # errorDict["ErrorCode"] = e.error_code

        errorDict["ErrorDump"] = '{}'.format(e)

        # stsText = json.dumps(errorDict)

        return errorDict

    # return stsText

    pass

aliBridge = Flask(__name__)

aliBridge.config['JSON_AS_ASCII'] = False

@aliBridge.route('/v1.0/aliBridge/aliyunosstokengenerator', methods=['POST'])

def aliyunosstokengeneratorrole():

    if not request.json:

        abort(400)

    chk_k = ['ipv4', 'imei', 'kid', 'ks']

    ipv4, imei, kid, ks = request.json['ipv4'], request.json['imei'], request.json['kid'], request.json['ks']

    #    ipv4, imei, kid, ks = request.json[0:4]

    uid = 'ipv4@{}@imei@{}'.format(ipv4, imei)

    uid = '{}@{}'.format(ipv4, imei)

    # uid ='ipv4__123__imei_123',

    if (kid, ks) != ('ourServerKeyId', 'ourServerKeyValue'):

        abort(400)

    for c in chk_k:

        if c not in request.json:

            abort(400)

    # task = {

    #     'uid': request.json['uid'],

    #     # 'uid': request,

    #     'no_open': 12,

    #     'no_ad': 34,

    #     'description': '该uid在ad_direct_order中共计123条当前未失效,其中12条打不开相应页面,34条页面中没有我司广告位',

    #     'cost_time': 123,

    #     'request_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time() - 123)),

    #     'current_time': time.strftime('%Y%m%d_%H%M%S', time.localtime(time.time()))

    # }

    # return jsonify({'status': '1', 'info': task}), 201

    task = getSts(uid)

    return jsonify(task), 201

'''

{

"ipv4":"197.164.165.154","imei":"123456789012347","kid":"ourServerKeyId","ks":"ourServerKeyValue"

}

'''

if __name__ == '__main__':

    aliBridge.run(host='0.0.0.0', port=5001, debug=True)

  

鉴权应用服务器 app客户端 web服务端 安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)的更多相关文章

  1. spring-oauth-server实践:客户端和服务端环境搭建

    客户端:http://localhost:8080/spring-oauth-client/index.jsp 服务端:http://localhost:8080/spring-oauth-serve ...

  2. IOS开发系列之阿堂教程:玩转IPhone客户端和Web服务端交互(客户端)实践

    说到ios的应用开发,我们不能不提到web server服务端,如果没有服务端的支持,ios应用开发就没有多大意义了,因为从事过手机开发的朋友都知道(Android也一样),大量复杂业务的处理和数据库 ...

  3. winform客户端利用webClient实现与Web服务端的数据传输

    由于项目需要,最近研究了下WebClient的数据传输.关于WebClient介绍网上有很多详细介绍,大概就是利用WebClient可以实现对Internet资源的访问.无外乎客户端发送请求,服务端处 ...

  4. SignalR 实现web浏览器客户端与服务端的推送功能

    SignalR 是一个集成的客户端与服务器库,基于浏览器的客户端和基于 ASP.NET 的服务器组件可以借助它来进行双向多步对话. 换句话说,该对话可不受限制地进行单个无状态请求/响应数据交换:它将继 ...

  5. Delphi XE5通过WebService开发Web服务端和手机客户端

    Delphi XE5通过WebService开发Web服务端和手机客户端介绍 我们开发一个三层的android程序 建立一个webservices  stand-alone vcl applicati ...

  6. TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况

    TLSv1.3 Support:主流 Web 客户端和服务端对 TLSv1.3 的支持情况 请访问原文链接:https://sysin.org/blog/tlsv1-3-support/,查看最新版. ...

  7. Android客户端与服务端交互之登陆示例

    Android客户端与服务端交互之登陆示例 今天了解了一下android客户端与服务端是怎样交互的,发现其实跟web有点类似吧,然后网上找了大神的登陆示例,是基于IntentService的 1.后台 ...

  8. Web服务端性能提升实践

    随着互联网的不断发展,日常生活中越来越多的需求通过网络来实现,从衣食住行到金融教育,从口袋到身份,人们无时无刻不依赖着网络,而且越来越多的人通过网络来完成自己的需求. 作为直接面对来自客户请求的Web ...

  9. 在HTTP通讯过程中,是客户端还是服务端主动断开连接?

    比如说:IE访问IIS,获取文件,肯定是要建立一个连接,这个连接在完成通讯后,是客户端Close了连接,还是服务端Close了连接.我用程序测模拟IE和IIS,都没有收到断开连接的消息,也就是都没有触 ...

随机推荐

  1. 2019年,Python工程师必考的6个面试题,Python面试题No5

    第1题:Python里面如何实现tuple和list的转换? 函数tuple(seq)可以把所有可迭代的(iterable)序列转换成一个tuple, 元素不变,排序也不变 list转为tuple: ...

  2. 关于react-native引入第三方库,运行react-native link xxxxx后项目无法运行

    最新版本的react-native中,官方表示将要移除 AsyncStorage,推荐使用@react-native-community/async-storage,好吧官方经常这么干   按照官方提 ...

  3. Nowcoder 106 C.Professional Manager(统计并查集的个数)

    题意: 给出四种操作: 1. 合并u,v两棵树 2. 从u所在的集合中删除u 3. 询问u所在集合有多少颗树 4. 询问 u,v是否在同一个集合 分析: 对于删除操作, 只要新开一个点代替原来的点即可 ...

  4. ES6(对象扩展)

    ES6(对象(object)新增特性) 1.简介表示法 o,k 为属性:这种为无方法的情况. 这种为有方法. 2.属性表达式 ES6中,[a]就是 b . 3.新增API 1.数组也是引用类型 2.O ...

  5. HDU 5487 Difference of Languages

    Difference of Languages Time Limit: 1000ms Memory Limit: 32768KB This problem will be judged on HDU. ...

  6. 77. Spring Boot Use Thymeleaf 3【从零开始学Spring Boot】

    [原创文章,转载请注明出处] Spring Boot默认选择的Thymeleaf是2.0版本的,那么如果我们就想要使用3.0版本或者说指定版本呢,那么怎么操作呢?在这里要说明下 3.0的配置在spri ...

  7. Linux使用Mutt发送邮件/附件

    使用Mutt发邮件极其方便,只需要一条命令即可发送或者批量发送邮件 功能说明:E-mail管理程序. 语 法:mutt [-hnpRvxz][-a<文件>][-b<地址>][- ...

  8. percona-toolkit工具安装

    1.yum安装 yum install perl-TermReadKey.x86_64 yum install perl-IO-Socket-SSL yum install perl-DBI.x86_ ...

  9. mapStruct笔记

    背景 mapStruct 是一个方便对象转换的工具,类似的工具还有 Dozer, BeanUtils. 实现 mapStruct的核心是在编译期生成基于转换规则的 Impl 文件,运行时直接调用 Im ...

  10. 【ZJOI2017 Round1练习&BZOJ4765】D1T3 普通计算姬(主席树,分块)

    题意: 思路:分块 使用树状数组维护sum[i]的前缀和 使用主席树维护root到u的路径上点的编号出现的个数 每次操作如果是修改就加入队列 如果是询问,考虑块内操作对询问的影响,每次在x点加上y会使 ...