STS临时Token的技术原理、使用及获取_视频点播(VOD)-阿里云帮助中心

STS（Security Token Service）是为阿里云账号（或RAM用户）提供短期访问权限管理的云服务。除了通过上传地址和凭证上传外，视频点播的部分开发者上传方式还支持使用STS临时Token访问点播服务。本文介绍STS临时Token的技术原理、使用说明及获取方式。

技术原理

通过STS为第三方访问颁发一个自定义时效和访问权限的访问凭证（STS临时Token）。第三方用户可以使用STS临时Token直接调用点播服务端API。

使用说明

说明使用STS临时Token方式和使用上传地址和凭证方式各有优势。用户需要根据实际需求选择使用。两种方式详细的对比请参见凭证方式与STS方式对比。更多关于上传地址和凭证的信息请参见上传地址和凭证。

在上传场景下，使用STS临时Token和使用上传地址和凭证的操作区别是：

使用STS临时Token需要在构造上传请求时传入提前获取到的STS临时Token和临时AK对。
使用上传地址和凭证在构造上传请求时可直接传入阿里云账号或RAM用户的AK对。

不同的上传方式使用STS临时Token的描述如下：


上传方式	是否支持STS临时Token	获取/使用方式
上传SDK（服务端）	仅Java语言支持	获取STS临时Token的方式请参见获取STS临时Token。 STS临时Token在上传场景下的具体应用请参见各上传方式对应的操作文档。
上传SDK（客户端）	支持
URL批量拉取上传	不涉及
基于OSS原生SDK上传	通过OSS原生SDK调用OSS服务上传时必须使用STS方式。
基于OSS API上传	不涉及

获取STS临时Token

为免去自行签名等麻烦，建议集成STS SDK并通过SDK调用AssumeRole来获取STS临时Token。集成STS SDK前必须创建RAM用户，RAM用户角色并为角色授权访问点播服务。

创建RAM用户。操作指引请参见创建RAM角色并进行STS临时授权。
（可选）如需自定义授权，请参见基于RAM Policy实现自定义授权。
集成STS SDK并通过SDK调用AssumeRole来获取STS临时Token。操作步骤根据使用的语言不同而不同。
服务端语言操作指引
Java Java示例
说明下文提供了Java语言的示例代码详解。
Python Python示例
PHP PHP示例
.NET .NET示例
Node.js Node.js示例
Go Go示例

服务端语言	操作指引
Java	Java示例说明下文提供了Java语言的示例代码详解。
Python	Python示例
PHP	PHP示例
.NET	.NET示例
Node.js	Node.js示例
Go	Go示例

Java示例

Java获取STS临时Token示例代码

说明此处以集成3.1.1版本的原版STS SDK为例进行获取STS临时Token示例说明，如需集成其余版本的STS SDK，详细信息，请参见STS SDK概览。

集成STS SDK。

添加STS SDK依赖。

<dependencies>
  <!--  原版 SDK  -->
  <dependency>
    <groupId>com.aliyun</groupId>
    <artifactId>aliyun-java-sdk-sts</artifactId>
    <version>3.1.1</version>
  </dependency>
</dependencies>

添加核心库SDK Core依赖。

<dependency>
  <groupId>com.aliyun</groupId>
  <artifactId>aliyun-java-sdk-core</artifactId>
  <version>4.6.1</version>
</dependency>

调用AssumeRole获取STS临时Token。


import com.aliyuncs.DefaultAcsClient;
import com.aliyuncs.exceptions.ClientException;
import com.aliyuncs.http.MethodType;
import com.aliyuncs.profile.DefaultProfile;
import com.aliyuncs.profile.IClientProfile;
import com.aliyuncs.sts.model.v20150401.AssumeRoleRequest;
import com.aliyuncs.sts.model.v20150401.AssumeRoleResponse;


/**
 * @author jack
 * @date 2020/5/25
 */
public class TestStsService {

    public static void main(String[] args) {
        // 只有RAM用户（子账号）才能调用 AssumeRole 接口
        // 阿里云主账号的AccessKeys不能用于发起AssumeRole请求
        // 请首先在RAM控制台创建一个RAM用户，并为这个用户创建AccessKeys
        String accessKeyId = "LTAI5tKtf6vKccbinQu****";
        String accessKeySecret = "D47l1yBPgjdqe3JzVASSF9yrje****";
        // AssumeRole API 请求参数： RoleArn, RoleSessionName, Policy, and DurationSeconds
        // RoleArn 需要在 RAM 控制台上获取
        String roleArn = "acs:ram::174809843091****:role/vodrole";
        // RoleSessionName 角色会话名称，自定义参数
        String roleSessionName = "session-name";// 自定义即可
        // 定制你的policy
        String policy = "{\n" +
                "  \"Version\": \"1\",\n" +
                "  \"Statement\": [\n" +
                "    {\n" +
                "      \"Action\": \"vod:*\",\n" +
                "      \"Resource\": \"*\",\n" +
                "      \"Effect\": \"Allow\"\n" +
                "    }\n" +
                "  ]\n" +
                "}";
        try {
            AssumeRoleResponse response = assumeRole(accessKeyId, accessKeySecret, roleArn, roleSessionName, policy);
            System.out.println("Expiration: " + response.getCredentials().getExpiration());
            System.out.println("Access Key Id: " + response.getCredentials().getAccessKeyId());
            System.out.println("Access Key Secret: " + response.getCredentials().getAccessKeySecret());
            System.out.println("Security Token: " + response.getCredentials().getSecurityToken());
            System.out.println("RequestId: " + response.getRequestId());

            createUploadVideo(response.getCredentials().getAccessKeyId(), response.getCredentials().getAccessKeySecret(), response.getCredentials().getSecurityToken());
        } catch (ClientException e) {
            System.out.println("Failed to get a token.");
            System.out.println("Error code: " + e.getErrCode());
            System.out.println("Error message: " + e.getErrMsg());
        }
    }

    static AssumeRoleResponse assumeRole(String accessKeyId, String accessKeySecret, String roleArn, String roleSessionName, String policy) throws ClientException {
        try {
            //构造default profile（参数留空，无需添加Region ID）
            /*
            说明：当设置SysEndpoint为sts.aliyuncs.com时，regionId可填可不填；反之，regionId必填，根据使用的服务区域填写，例如：cn-shanghai
            详情参考STS各地域的Endpoint，请参见接入地址。
             */
            IClientProfile profile = DefaultProfile.getProfile("", accessKeyId, accessKeySecret);
            //用profile构造client
            DefaultAcsClient client = new DefaultAcsClient(profile);
            // 创建一个 AssumeRoleRequest 并设置请求参数
            final AssumeRoleRequest request = new AssumeRoleRequest();
            request.setSysEndpoint("sts.aliyuncs.com");
            request.setSysMethod(MethodType.POST);
            request.setRoleArn(roleArn);
            request.setRoleSessionName(roleSessionName);
            request.setPolicy(policy);
            // 发起请求，并得到response
            final AssumeRoleResponse response = client.getAcsResponse(request);
            return response;
        } catch (ClientException e) {
            throw e;
        }
    }

参数说明


参数	描述
RoleArn	需要扮演的角色ID。为RAM用户创建好角色后，角色的ID可以从RAM控制台获取。获取路径：控制台的身份管理 > 角色，单击角色名称后，在基本信息中可以复制ARN。
RoleSessionName	角色会话名称。该参数为用户自定义参数。通常设置为调用该API的用户身份，例如：用户名。在操作审计日志中，即使是同一个RAM角色执行的操作，也可以根据不同的RoleSessionName来区分实际操作者，以实现用户级别的访问审计。长度为2~64个字符，可包含英文字母、数字、半角句号（.）、at（@）、短划线（-）和下划线（_）。
Policy	在扮演角色的时候额外加上的一个权限限制。说明 Policy是用来限制扮演角色之后的临时凭证的权限。最后临时凭证获得的权限是角色的权限和这里传入的Policy的交集。在扮演角色的时候传入Policy的原因是为了灵活性，比如只能现在使用CreateUploadVideo接口。
DurationSeconds	临时凭证的有效期，单位为秒，最小为900，最大为3600。
accessKeyId和accessKeySecret	需要扮演角色的RAM用户，及其AccessKey Secret。