tencent cloud

文档反馈

临时密钥生成及使用指引

最后更新时间:2022-02-26 09:45:53
    注意:

    • 使用临时密钥授权访问时,请务必根据业务需要,按照最小权限原则进行授权。如果您直接授予所有资源(resource:*),或者所有操作(action:*)权限,则存在由于权限范围过大导致的数据安全风险。
    • 您在申请临时密钥时,如果指定了权限范围,那么申请到的临时密钥也只能在权限范围内进行操作。例如您在申请临时密钥时,指定了可以往存储桶 examplebucket-1-1250000000 上传文件的权限范围,那么申请到的密钥不能将文件上传到 examplebucket-2-1250000000,也不能从 examplebucket-1-1250000000 中下载文件。

    临时密钥

    临时密钥(临时访问凭证)是通过 CAM 云 API 提供的接口,获取到权限受限的密钥。
    COS API 可以使用临时密钥计算签名,用于发起 COS API 请求。
    COS API 请求使用临时密钥计算签名时,需要用到获取临时密钥接口返回信息中的三个字段,如下:

    • TmpSecretId
    • TmpSecretKey
    • Token

    使用临时密钥的优势

    Web、iOS、Android 使用 COS 时,通过固定密钥计算签名方式不能有效地控制权限,同时把永久密钥放到客户端代码中有极大的泄露风险。如若通过临时密钥方式,则可以方便、有效地解决权限控制问题。
    例如,在申请临时密钥过程中,可以通过设置权限策略 policy 字段,限制操作和资源,将权限限制在指定的范围内。

    有关 COS API 授权策略,请参见:

    获取临时密钥

    获取临时密钥,可以通过提供的 COS STS SDK 方式获取,也可以直接请求STS 云 API的方式获取。

    注意:

    举例使用的是 Java SDK ,需要在 GitHub 上获取 SDK 代码(版本号)。若提示找不到对应 SDK 版本号,请确认是否在 GitHub 上获取到对应版本的 SDK。

    COS STS SDK

    COS 针对 STS 提供了 SDK 和样例,目前已有 Java、Nodejs、PHP、Python、Go 等多种语言的样例。具体内容请参见 COS STS SDK。各个 SDK 的使用说明请参见 Github 上的 README 和样例。各语言 GitHub 地址如下表格所示:

    语言类型 代码安装地址 代码示例地址
    Java 安装地址 示例地址
    .NET 安装地址 示例地址
    Go 安装地址 示例地址
    NodeJS 安装地址 示例地址
    PHP 安装地址 示例地址
    Python 安装地址 示例地址
    注意:

    STS SDK 为了屏蔽 STS 接口本身版本间的差异性,返回参数结构不一定与 STS 接口完全一致,详情请参见 Java SDK 文档

    假设您使用的是 Java SDK,请先下载 Java SDK,然后运行如下获取临时密钥示例:

    代码示例

    // 根据 github 提供的 maven 集成方法导入 java sts sdk,使用 3.1.0 及更高版本
    public class Demo {
       public static void main(String[] args) {
           TreeMap config = new TreeMap();
            try {
               //这里的 SecretId 和 SecretKey 代表了用于申请临时密钥的永久身份(主账号、子账号等),子账号需要具有操作存储桶的权限。
               // 替换为您的云 api 密钥 SecretId
               config.put("secretId", "SecretId");
               // 替换为您的云 api 密钥 SecretKey
               config.put("secretKey", "SecretKey");
                // 设置域名: 
               // 如果您使用了腾讯云 cvm,可以设置内部域名
               //config.put("host", "sts.internal.tencentcloudapi.com");
                // 临时密钥有效时长,单位是秒,默认 1800 秒,目前主账号最长 2 小时(即 7200 秒),子账号最长 36 小时(即 129600)秒
               config.put("durationSeconds", 1800);
                // 换成您的 bucket
               config.put("bucket", "examplebucket-1250000000");
               // 换成 bucket 所在地区
               config.put("region", "ap-guangzhou");
                // 这里改成允许的路径前缀,可以根据自己网站的用户登录态判断允许上传的具体路径
               // 列举几种典型的前缀授权场景:
               // 1、允许访问所有对象:"*"
               // 2、允许访问指定的对象:"a/a1.txt", "b/b1.txt"
               // 3、允许访问指定前缀的对象:"a*", "a/*", "b/*"
               // 如果填写了“*”,将允许用户访问所有资源;除非业务需要,否则请按照最小权限原则授予用户相应的访问权限范围。
               config.put("allowPrefixes", new String[] {
                       "exampleobject",
                       "exampleobject2"
               });
                // 密钥的权限列表。必须在这里指定本次临时密钥所需要的权限。
               // 简单上传、表单上传和分块上传需要以下的权限,其他权限列表请看 https://intl.cloud.tencent.com/document/product/436/30580
               String[] allowActions = new String[] {
                        // 简单上传
                       "name/cos:PutObject",
                       // 表单上传、小程序上传
                       "name/cos:PostObject",
                       // 分块上传
                       "name/cos:InitiateMultipartUpload",
                       "name/cos:ListMultipartUploads",
                       "name/cos:ListParts",
                       "name/cos:UploadPart",
                       "name/cos:CompleteMultipartUpload"
               };
               config.put("allowActions", allowActions);
                Response response = CosStsClient.getCredential(config);
               System.out.println(response.credentials.tmpSecretId);
               System.out.println(response.credentials.tmpSecretKey);
               System.out.println(response.credentials.sessionToken);
           } catch (Exception e) {
               e.printStackTrace();
               throw new IllegalArgumentException("no valid secret !");
           }
       }
    }
    

    常见问题和解答

    JSONObject 包冲突导致 NoSuchMethodError

    使用3.1.0及以后的版本。

    使用临时密钥访问 COS

    COS API 使用临时密钥访问 COS 服务时,通过 x-cos-security-token 字段传递临时 sessionToken,通过临时 SecretId 和 SecretKey 计算签名。

    以 COS Java SDK 为例,使用临时密钥访问 COS 示例如下:

    说明:

    运行如下示例前,请前往 Github 项目 获取 Java SDK 安装包。

    // 根据 github 提供的 maven 集成方式导入 cos xml java sdk
    import com.qcloud.cos.*;
    import com.qcloud.cos.auth.*;
    import com.qcloud.cos.exception.*;
    import com.qcloud.cos.model.*;
    import com.qcloud.cos.region.*;
    public class Demo {
      public static void main(String[] args) throws Exception {
           // 用户基本信息
          String tmpSecretId = "COS_SECRETID";   // 替换为 STS 接口返回给您的临时 SecretId 
          String tmpSecretKey = "COS_SECRETKEY";  // 替换为 STS 接口返回给您的临时 SecretKey
          String sessionToken = "Token";  // 替换为 STS 接口返回给您的临时 Token
           // 1 初始化用户身份信息(secretId, secretKey)
          COSCredentials cred = new BasicCOSCredentials(tmpSecretId, tmpSecretKey);
          // 2 设置 bucket 区域,详情请参阅 COS 地域 https://intl.cloud.tencent.com/document/product/436/6224?from_cn_redirect=1
          ClientConfig clientConfig = new ClientConfig(new Region("ap-guangzhou"));
          // 3 生成 cos 客户端
          COSClient cosclient = new COSClient(cred, clientConfig);
          // bucket 名需包含 appid
          String bucketName = "examplebucket-1250000000";
           String key = "exampleobject";
          // 上传 object, 建议 20M 以下的文件使用该接口
          File localFile = new File("src/test/resources/text.txt");
          PutObjectRequest putObjectRequest = new PutObjectRequest(bucketName, key, localFile);
           // 设置 x-cos-security-token header 字段
          ObjectMetadata objectMetadata = new ObjectMetadata();
          objectMetadata.setSecurityToken(sessionToken);
          putObjectRequest.setMetadata(objectMetadata);
           try {
              PutObjectResult putObjectResult = cosclient.putObject(putObjectRequest);
              // 成功:putobjectResult 会返回文件的 etag
              String etag = putObjectResult.getETag();
          } catch (CosServiceException e) {
        //失败,抛出 CosServiceException
              e.printStackTrace();
          } catch (CosClientException e) {
        //失败,抛出 CosClientException
              e.printStackTrace();
          }
           // 关闭客户端
          cosclient.shutdown();
       }
    }
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持