STS(Security Token Service)是为阿里云账号(或RAM用户)提供短期访问权限管理的云服务。除了通过上传地址和凭证上传外,视频点播的部分开发者上传方式还支持使用STS临时Token访问点播服务。本文介绍STS临时Token的技术原理、使用说明及获取方式。

技术原理

通过STS为第三方访问颁发一个自定义时效和访问权限的访问凭证(STS临时Token)。第三方用户可以使用STS临时Token直接调用点播服务端API。

使用说明

说明 使用STS临时Token方式和使用上传地址和凭证方式各有优势。用户需要根据实际需求选择使用。两种方式详细的对比请参见凭证方式与STS方式对比。更多关于上传地址和凭证的信息请参见上传地址和凭证
在上传场景下,使用STS临时Token和使用上传地址和凭证的操作区别是:
  • 使用STS临时Token需要在构造上传请求时传入提前获取到的STS临时Token和临时AK对。
  • 使用上传地址和凭证在构造上传请求时可直接传入阿里云账号或RAM用户的AK对。
不同的上传方式使用STS临时Token的描述如下:
上传方式 是否支持STS临时Token 获取/使用方式

上传SDK(服务端)

 仅Java语言支持

获取STS临时Token的方式请参见获取STS临时Token

STS临时Token在上传场景下的具体应用请参见各上传方式对应的操作文档。

上传SDK(客户端)

 支持

URL批量拉取上传

 不涉及

基于OSS原生SDK上传

 通过OSS原生SDK调用OSS服务上传时必须使用STS方式。

基于OSS API上传

 不涉及

获取STS临时Token

为免去自行签名等麻烦,建议集成STS SDK并通过SDK调用AssumeRole来获取STS临时Token。集成STS SDK前必须创建RAM用户,RAM用户角色并为角色授权访问点播服务。

  1. 创建RAM用户。操作指引请参见创建RAM角色并进行STS临时授权
  2. (可选)如需自定义授权,请参见基于RAM Policy实现自定义授权
  3. 集成STS SDK并通过SDK调用AssumeRole来获取STS临时Token。操作步骤根据使用的语言不同而不同。
    服务端语言 操作指引
    Java Java示例
    说明 下文提供了Java语言的示例代码详解。
    Python Python示例
    PHP PHP示例
    .NET .NET示例
    Node.js Node.js示例
    Go Go示例

Java示例

Java获取STS临时Token示例代码

import com.aliyuncs.DefaultAcsClient;
import com.aliyuncs.exceptions.ClientException;
import com.aliyuncs.http.MethodType;
import com.aliyuncs.profile.DefaultProfile;
import com.aliyuncs.profile.IClientProfile;
import com.aliyuncs.sts.model.v20150401.AssumeRoleRequest;
import com.aliyuncs.sts.model.v20150401.AssumeRoleResponse;


/**
 * @author jack
 * @date 2020/5/25
 */
public class TestStsService {

    public static void main(String[] args) {
        // 只有RAM用户(子账号)才能调用 AssumeRole 接口
        // 阿里云主账号的AccessKeys不能用于发起AssumeRole请求
        // 请首先在RAM控制台创建一个RAM用户,并为这个用户创建AccessKeys
        String accessKeyId = "LTAI5tKtf6vKccbinQu****";
        String accessKeySecret = "D47l1yBPgjdqe3JzVASSF9yrje****";
        // AssumeRole API 请求参数: RoleArn, RoleSessionName, Policy, and DurationSeconds
        // RoleArn 需要在 RAM 控制台上获取
        String roleArn = "acs:ram::1748098430911242:role/vodrole";
        // RoleSessionName 角色会话名称,自定义参数
        String roleSessionName = "session-name";// 自定义即可
        // 定制你的policy
        String policy = "{\n" +
                "  \"Version\": \"1\",\n" +
                "  \"Statement\": [\n" +
                "    {\n" +
                "      \"Action\": \"vod:*\",\n" +
                "      \"Resource\": \"*\",\n" +
                "      \"Effect\": \"Allow\"\n" +
                "    }\n" +
                "  ]\n" +
                "}";
        try {
            AssumeRoleResponse response = assumeRole(accessKeyId, accessKeySecret, roleArn, roleSessionName, policy);
            System.out.println("Expiration: " + response.getCredentials().getExpiration());
            System.out.println("Access Key Id: " + response.getCredentials().getAccessKeyId());
            System.out.println("Access Key Secret: " + response.getCredentials().getAccessKeySecret());
            System.out.println("Security Token: " + response.getCredentials().getSecurityToken());
            System.out.println("RequestId: " + response.getRequestId());

            createUploadVideo(response.getCredentials().getAccessKeyId(), response.getCredentials().getAccessKeySecret(), response.getCredentials().getSecurityToken());
        } catch (ClientException e) {
            System.out.println("Failed to get a token.");
            System.out.println("Error code: " + e.getErrCode());
            System.out.println("Error message: " + e.getErrMsg());
        }
    }

    static AssumeRoleResponse assumeRole(String accessKeyId, String accessKeySecret, String roleArn, String roleSessionName, String policy) throws ClientException {
        try {
            //构造default profile(参数留空,无需添加Region ID)
            /*
            说明:当设置SysEndpoint为sts.aliyuncs.com时,regionId可填可不填;反之,regionId必填,根据使用的服务区域填写,例如:cn-shanghai
            详情参考STS各地域的Endpoint,请参见接入地址。
             */
            IClientProfile profile = DefaultProfile.getProfile("", accessKeyId, accessKeySecret);
            //用profile构造client
            DefaultAcsClient client = new DefaultAcsClient(profile);
            // 创建一个 AssumeRoleRequest 并设置请求参数
            final AssumeRoleRequest request = new AssumeRoleRequest();
            request.setSysEndpoint("sts.aliyuncs.com");
            request.setSysMethod(MethodType.POST);
            request.setRoleArn(roleArn);
            request.setRoleSessionName(roleSessionName);
            request.setPolicy(policy);
            // 发起请求,并得到response
            final AssumeRoleResponse response = client.getAcsResponse(request);
            return response;
        } catch (ClientException e) {
            throw e;
        }
    }

参数说明

参数 描述
RoleArn 需要扮演的角色ID。为RAM用户创建好角色后,角色的ID可以从RAM控制台获取。获取路径:控制台的身份管理 > 角色,单击角色名称后,在基本信息中可以复制ARN。
RoleSessionName 角色会话名称。该参数为用户自定义参数。通常设置为调用该API的用户身份,例如:用户名。在操作审计日志中,即使是同一个RAM角色执行的操作,也可以根据不同的RoleSessionName来区分实际操作者,以实现用户级别的访问审计。长度为2~64个字符,可包含英文字母、数字、半角句号(.)、at(@)、短划线(-)和下划线(_)。
Policy 在扮演角色的时候额外加上的一个权限限制。
说明
  • Policy是用来限制扮演角色之后的临时凭证的权限。最后临时凭证获得的权限是角色的权限和这里传入的Policy的交集。
  • 在扮演角色的时候传入Policy的原因是为了灵活性,比如只能现在使用CreateUploadVideo接口。
DurationSeconds 临时凭证的有效期,单位为秒,最小为900,最大为3600。
accessKeyId和accessKeySecret 需要扮演角色的RAM用户,及其AccessKey Secret。