iOS SDK提供了STS鉴权模式、自签名模式以及URL签名的方式来保障移动终端的安全性。
注意事项
无论是STS鉴权模式还是自签名模式,您实现的回调函数都需要保证调用时Token、Signature的返回结果。如果您需要实现向业务Server获取Token、Signature的网络请求,建议调用网络库的同步接口。回调都是在SDK发起具体请求时,在请求的子线程中执行,所以不会阻塞主线程。
STS鉴权模式
通过STS临时授权访问OSS的步骤如下:
- 获取临时访问凭证
临时访问凭证包括临时访问密钥(AccessKey ID和AccessKey Secret)和安全令牌(SecurityToken)。临时访问凭证有效时间单位为秒,最小值为900,最大值以当前角色设定的最大会话时间为准。更多信息,请参见设置角色最大会话时间。
您可以通过以下两种方式获取临时访问凭证。
- 方式一
通过调用STS服务的AssumeRole接口获取临时访问凭证。
- 方式二
通过各语言STS SDK获取临时访问凭证。
- 方式一
- 使用临时访问凭证初始化SDK
id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"]; client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];说明 如果您需要使用OSSAuthCredentialProvider初始化SDK,请参见iOS初始化。通过临时访问凭证初始化SDK时,需要注意StsToken的有效时间。以下代码用于判断StsToken的有效时间:
NSDateFormatter * fm = [NSDateFormatter new]; fm.locale = [NSLocale localeWithLocaleIdentifier:@"en_US_POSIX"]; [fm setDateFormat:@"yyyy-MM-dd'T'HH:mm:ssZ"]; NSDate *expirationDate = [fm dateFromString:@"<StsToken.Expiration>"]; NSTimeInterval interval = [expirationDate timeIntervalSinceDate:[NSDate date]]; // 即将过期,有效时间小于5分钟。 if (interval < 5 * 60) { id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"]; client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential]; }- 手动更新StsToken
当判断StsToken即将过期时,您可以重新构造OSSClient,也可以通过如下方式更新CredentialProvider。
id<OSSCredentialProvider> credential = [[OSSStsTokenCredentialProvider alloc] initWithAccessKeyId:@"<StsToken.AccessKeyId>" secretKeyId:@"<StsToken.SecretKeyId>" securityToken:@"<StsToken.SecurityToken>"]; client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential]; - 自动更新StsToken
如果您期望SDK自动更新StsToken,那么您需要在SDK的应用中实现回调。通过您实现回调的方式去获取Federation Token(即StsToken),SDK会使用此StsToken来进行加签处理,并在需要更新时主动调用此回调来获取StsToken。
id<OSSCredentialProvider> credential = [[OSSFederationCredentialProvider alloc] initWithFederationTokenGetter:^OSSFederationToken * { // 您需要在此处实现获取一个FederationToken,并构造成OSSFederationToken对象返回。 // 如果由于某种原因获取失败,直接返回nil。 OSSFederationToken * token; // 从您的服务器中获取token。 ... return token; }]; client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential];说明 如果您已经通过其他方式获取了StsToken所需的各个字段,也可以在回调中直接返回StsToken。但您需要手动处理StsToken的更新,且更新后重新设置该OSSClient实例的OSSCredentialProvider。假设您访问的Server地址为http://localhost:8080/distribute-token.json,则返回的数据如下:
{ "StatusCode": 200, "AccessKeyId":"STS.iA645eTOXEqP3cg3****", "AccessKeySecret":"rV3VQrpFQ4BsyHSAvi5NVLpPIVffDJv4LojU****", "Expiration":"2015-11-03T09:52:59Z", "SecurityToken":"CAES7QIIARKAAZPlqaN9ILiQZPS+JDkS/GSZN45RLx4YS/p3OgaUC+oJl3XSlbJ7StKpQ****" }实现OSSFederationCredentialProvider的示例如下。
id<OSSCredentialProvider> credential2 = [[OSSFederationCredentialProvider alloc] initWithFederationTokenGetter:^OSSFederationToken * { // 构造请求访问您的业务Server。 NSURL * url = [NSURL URLWithString:@"http://localhost:8080/distribute-token.json"]; // 通过request设置自有服务器需要的参数。 NSURLRequest * request = [NSURLRequest requestWithURL:url]; OSSTaskCompletionSource * tcs = [OSSTaskCompletionSource taskCompletionSource]; NSURLSession * session = [NSURLSession sharedSession]; // 发送请求。 NSURLSessionTask * sessionTask = [session dataTaskWithRequest:request completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) { if (error) { [tcs setError:error]; return; } [tcs setResult:data]; }]; [sessionTask resume]; // 需要阻塞等待请求返回。 [tcs.task waitUntilFinished]; // 解析结果。 if (tcs.task.error) { NSLog(@"get token error: %@", tcs.task.error); return nil; } else { // 返回数据为JSON格式,需要解析返回数据得到token的各个字段。 NSDictionary * object = [NSJSONSerialization JSONObjectWithData:tcs.task.result options:kNilOptions error:nil]; OSSFederationToken * token = [OSSFederationToken new]; token.tAccessKey = [object objectForKey:@"AccessKeyId"]; token.tSecretKey = [object objectForKey:@"AccessKeySecret"]; token.tToken = [object objectForKey:@"SecurityToken"]; token.expirationTimeInGMTFormat = [object objectForKey:@"Expiration"]; NSLog(@"get token: %@", token); return token; } }];
- 手动更新StsToken
自签名模式
您可以把AccessKey ID和AccessKey Secret保存在自有服务器中后,通过自有服务器对客户端信息进行签名。具体步骤如下:
- 在客户端获取并发送待签名的字符串到自有服务器。
- 构造请求时通过SDK中OSSCustomSignerCredentialProvider的signContent方法获取待签名的字符串。
- 发送待签名的字符串到自有服务器。
- 在自有服务器进行签名并返回签名后的字符串到客户端。
- 按照OSS规定的签名算法对待签名字符串进行签名。有关签名算法的更多信息,请参见在Header中包含签名。
签名算法的格式为
signature = "OSS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content)),其中content是已根据请求参数拼接后的字符串。示例代码如下:id<OSSCredentialProvider> credential = [[OSSCustomSignerCredentialProvider alloc] initWithImplementedSigner:^NSString *(NSString *contentToSign, NSError *__autoreleasing *error) { // 按照OSS规定的签名算法加签字符串,并将得到的加签字符串拼接AccessKeyId后返回。 // 将加签的字符串传给您的服务器,然后返回签名。 // 如果因某种原因加签失败,服务器描述错误信息后返回nil。 NSString *signature = [OSSUtil calBase64Sha1WithData:contentToSign withSecret:@"<your accessKeySecret>"]; // 此处为用SDK内的工具函数进行本地加签,建议您通过业务server实现远程加签。 if (signature != nil) { *error = nil; } else { *error = [NSError errorWithDomain:@"<your domain>" code:-1001 userInfo:@"<your error info>"]; return nil; } return [NSString stringWithFormat:@"OSS %@:%@", @"<your accessKeyId>", signature]; }]; client = [[OSSClient alloc] initWithEndpoint:endpoint credentialProvider:credential]; - 返回签名后的字符串给客户端。
- 按照OSS规定的签名算法对待签名字符串进行签名。有关签名算法的更多信息,请参见在Header中包含签名。
- 在客户端发送签名后的字符串到OSS服务器进行鉴权。
签名URL
您可以通过签名URL上传和下载文件。
使用签名URL上传文件
- 生成用于上传文件的签名URL。
// 填写Bucket名称。 NSString *bucketName = @"examplebucket"; // 填写Object名称。 NSString *objectKey = @"exampleobject.txt"; NSURL *file = [NSURL fileURLWithPath:@"<filePath>"]; NSString *contentType = [OSSUtil detemineMimeTypeForFilePath:file.absoluteString uploadName:objectKey]; __block NSString *urlString; // 生成用于上传的签名URL,并指定签名URL过期时间为30分钟。 OSSTask *task = [client presignConstrainURLWithBucketName:bucketName withObjectKey:objectKey httpMethod:@"PUT" withExpirationInterval:30 * 60 withParameters:@{} contentType:contentType contentMd5:nil]; [task continueWithBlock:^id _Nullable(OSSTask * _Nonnull task) { if (task.error) { NSLog(@"presign error: %@", task.error); } else { urlString = task.result; NSLog(@"url: %@", urlString); } return nil; }]; - 使用签名URL上传文件。
// 通过签名URL上传文件。 NSURL * url = [NSURL URLWithString:urlString]; NSMutableURLRequest * request = [NSMutableURLRequest requestWithURL:url]; request.HTTPMethod = @"PUT"; request.allHTTPHeaderFields = @{OSSHttpHeaderContentType: contentType}; NSURLSession * session = [NSURLSession sharedSession]; NSURLSessionTask * sessionTask = [session uploadTaskWithRequest:request fromFile:file completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) { if (error) { NSLog(@"upload error: %@", error); return; } else if (((NSHTTPURLResponse*)response).statusCode == 203 || ((NSHTTPURLResponse*)response).statusCode >= 300) { NSString *body = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]; NSLog(@"upload error: %@", body); return; } NSLog(@"upload success"); }]; [sessionTask resume];
使用签名URL下载文件
- 生成用于下载文件的签名URL。
// 填写Bucket名称。 NSString *bucketName = @"examplebucket"; // 填写Object名称。 NSString *objectKey = @"exampleobject.txt"; __block NSString *urlString; // 生成用于下载的签名URL,并指定签名URL过期时间为30分钟。 OSSTask *task = [client presignConstrainURLWithBucketName:bucketName withObjectKey:objectKey httpMethod:@"GET" withExpirationInterval:30 * 60 withParameters:@{}]; [task continueWithBlock:^id _Nullable(OSSTask * _Nonnull task) { if (task.error) { NSLog(@"presign error: %@", task.error); } else { urlString = task.result; NSLog(@"url: %@", urlString); } return nil; }]; - 使用签名URL下载文件。
// 使用签名URL下载文件。 NSURL * url = [NSURL URLWithString:urlString]; NSURLRequest * request = [NSURLRequest requestWithURL:url]; NSURLSession * session = [NSURLSession sharedSession]; NSURLSessionTask * sessionTask = [session dataTaskWithRequest:request completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) { if (error) { NSLog(@"download error: %@", error); return; } else if (((NSHTTPURLResponse*)response).statusCode == 203 || ((NSHTTPURLResponse*)response).statusCode >= 300) { NSString *body = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]; NSLog(@"download error: %@", body); return; } NSLog(@"download success"); }]; [sessionTask resume];