在云计算环境中,阿里云的 OSS(对象存储服务)广泛应用于存储和管理海量数据。为了确保数据安全,OSS 提供了基于 STS(Security Token Service) 的临时访问凭证来控制用户对存储桶的访问权限。本篇文章将演示如何使用 Flask 构建一个 API,通过 STS 获取临时访问凭证,然后用这个凭证上传文件至 OSS。
1. 背景介绍
STS 是一种安全的访问控制方式,允许用户在有限时间内通过临时凭证访问阿里云资源。通过生成 临时访问凭证,你可以在不暴露敏感信息(如 AccessKey)的情况下,允许授权用户访问特定的资源。本文的主要步骤包括:
- 通过 STS 获取临时凭证。
- 使用 Flask 搭建一个接口来获取这个临时凭证。
- 使用凭证初始化 OSS 客户端并上传文件。
2. 安装依赖
在开始之前,你需要安装 Flask、Aliyun SDK 和其他一些必要的 Python 库:
bash
pip install flask aliyun-python-sdk-core oss23. Flask API:获取阿里云临时凭证
首先,我们将通过 Flask 构建一个 API,接收带有 Bearer Token 的请求,验证后调用阿里云 STS 获取临时凭证。
python
from aliyunsdkcore.client import AcsClient
from aliyunsdksts.request.v20150401 import AssumeRoleRequest
import json
from flask import Flask, request, jsonify
from functools import wraps
app = Flask(__name__)
def validate_bearer_token(func):
@wraps(func)
def wrapper(*args, **kwargs):
# 获取Authorization头
auth_header = request.headers.get('Authorization')
# 检查Authorization头是否存在
if not auth_header:
return jsonify({'error': 'Authorization header is missing'}), 401
# 检查Authorization头是否以'Bearer'开头
parts = auth_header.split()
if len(parts) != 2 or parts[0].lower() != 'bearer':
return jsonify({'error': 'Invalid Authorization header'}), 401
# 提取token并验证
token = parts[1]
if token != 'token':
return jsonify({'error': 'Invalid Bearer token'}), 401
# 调用实际的路由函数
return func(*args, **kwargs)
return wrapper
@app.route('/get_oss_token', methods=['GET'])
@validate_bearer_token
def get_oss_token():
# 阿里云账号AccessKey ID和AccessKey Secret
access_key_id = 'LTAI5tR3XDjgjxe1cxxxxxxxx'
access_key_secret = 'bb4vGoJozsbu0yteXXXXXXXP'
# STS角色的ARN(在RAM控制台获取)
role_arn = 'acs:ram::XXXX:role/aliyunosstokengeneratorrole'
# 创建ACS客户端
acs_client = AcsClient(access_key_id, access_key_secret, 'cn-shanghai')
# 发起AssumeRole请求
request = AssumeRoleRequest.AssumeRoleRequest()
request.set_RoleArn(role_arn)
request.set_RoleSessionName('oss-bucket-put-object') # 设置会话名称,可自定义
response = acs_client.do_action_with_exception(request)
token_info = json.loads(response)
return jsonify(token_info)
if __name__ == '__main__':
app.run(debug=True, port=5002, host="0.0.0.0")代码解析:
- 验证 Bearer Token :通过装饰器
@validate_bearer_token,我们确保所有的请求都包含正确的 Bearer Token。如果请求中的 token 无效或缺失,将返回 401 错误。 - 获取临时凭证 :在
/get_oss_token路由中,我们通过AssumeRoleRequest调用阿里云 STS 接口,获取临时凭证。响应中将包含AccessKeyId、AccessKeySecret和SecurityToken,这些都将用于后续的 OSS 操作。
4. 使用临时凭证上传文件至 OSS
获取临时凭证后,我们可以使用 oss2 库来初始化 OSS 客户端,上传文件到指定的存储桶。
python
import json
import oss2
import requests
# 解析AssumeRole响应,获取临时访问凭证
token_info = json.loads(response)
access_key_id_sts = token_info['Credentials']['AccessKeyId']
access_key_secret_sts = token_info['Credentials']['AccessKeySecret']
security_token = token_info['Credentials']['SecurityToken']
# 使用STS凭证初始化OSS Auth
bucket_name = 'lanrenchengxu'
endpoint = "http://oss-cn-shanghai.aliyuncs.com"
# 上传本地文件到OSS
auth = oss2.StsAuth(access_key_id_sts, access_key_secret_sts, security_token)
# 使用StsAuth实例初始化存储空间。
bucket = oss2.Bucket(auth, endpoint, bucket_name)
# 模拟从其他地方获取文件(例如通过请求)
headers = {'Authorization': 'Bearer token'}
response = requests.get(f"http://127.0.0.1:5002/file/CMF5FCOA", headers=headers)
# 上传文件
result = bucket.put_object('file/1.html', response.content)
print(result.status)
print("File uploaded successfully.")代码解析:
- 解析临时凭证 :从
AssumeRole返回的 JSON 响应中提取AccessKeyId、AccessKeySecret和SecurityToken。 - 初始化 OSS 客户端 :使用
StsAuth初始化 OSS 客户端,传入临时凭证。 - 上传文件 :通过
bucket.put_object()将文件上传至 OSS 存储桶。
5. 测试
-
启动 Flask 服务器:
bashpython app.py -
在浏览器或 API 客户端(如 Postman)中,向
http://127.0.0.1:5002/get_oss_token发起 GET 请求,并在请求头中添加 Bearer Token:bashAuthorization: Bearer token -
服务器会返回一个临时的 OSS 凭证,随后你可以使用它上传文件至 OSS。
6. 总结
通过以上步骤,我们创建了一个通过 阿里云 STS 获取临时访问凭证的 Flask API。通过这个 API,用户可以通过 Bearer Token 获取临时的 OSS 访问权限,然后用这些凭证安全地上传文件至阿里云 OSS。这种方式不仅简化了权限管理,还增强了安全性。
希望本教程能帮助你理解如何使用阿里云的 STS 服务,并通过 Flask 实现临时凭证管理。如果你有任何问题,欢迎在评论区提问。