本文介绍如何进行授权访问。

使用签名URL进行临时授权

您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时,您可以指定URL的过期时间,来限制访客的访问时长。

使用签名URL进行临时授权的完整代码请参见GitHub

  • 使用签名URL上传文件

    以下代码用于使用签名URL上传文件:

    package main
    
    import (
    	"fmt"
    	"os"
    	"strings"
    
    	"github.com/aliyun/aliyun-oss-go-sdk/oss"
    )
    
    func HandleError(err error) {
    	fmt.Println("Error:", err)
    	os.Exit(-1)
    }
    
    func main() {
    	client, err := oss.New("<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>")
    	if err != nil {
    		HandleError(err)
    	}
    
    	bucketName := "<yourBucketName>"
    	objectName := "<yourObjectName>"
    	localFilename := "<yourLocalFilename>"
    
    	// 获取存储空间。
    	bucket, err := client.Bucket(bucketName)
    	if err != nil {
    		HandleError(err)
    	}
    
    	// 签名直传。
    	signedURL, err := bucket.SignURL(objectName, oss.HTTPPut, 60)
    	if err != nil {
    		HandleError(err)
    	}
    
    	var val = "上云就上阿里云"
    	err = bucket.PutObjectWithURL(signedURL, strings.NewReader(val))
    	if err != nil {
    		HandleError(err)
    	}
    
    	// 带可选参数的签名直传。
    	options := []oss.Option{
    		oss.Meta("myprop", "mypropval"),
    		oss.ContentType("image/tiff"),
    	}
    
    	signedURL, err = bucket.SignURL(objectName, oss.HTTPPut, 60, options...)
    	if err != nil {
    		HandleError(err)
    	}
    
    	err = bucket.PutObjectFromFileWithURL(signedURL, localFilename, options...)
    	if err != nil {
    		HandleError(err)
    	}
    }
    
    说明 可选参数详情请参见管理文件中的文件元信息
  • 使用签名URL下载文件

    以下代码用于使用签名URL下载文件:

    package main
    
    import (
    	"fmt"
    	"os"
    	"io/ioutil"
    
    	"github.com/aliyun/aliyun-oss-go-sdk/oss"
    )
    
    func HandleError(err error) {
    	fmt.Println("Error:", err)
    	os.Exit(-1)
    }
    
    func main() {
    	client, err := oss.New("<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>")
    	if err != nil {
    		HandleError(err)
    	}
    
    	bucketName := "<yourBucketName>"
    	objectName := "<yourObjectName>"
    	localDownloadedFilename := "<yourDownloadedFilename>"
    
    	// 获取存储空间。
    	bucket, err := client.Bucket(bucketName)
    	if err != nil {
    		HandleError(err)
    	}
    
    	// 签名直传,下载到流。
    	signedURL, err := bucket.SignURL(objectName, oss.HTTPGet, 60)
    	if err != nil {
    		HandleError(err)
    	}
    
    	body, err := bucket.GetObjectWithURL(signedURL)
    	if err != nil {
    		HandleError(err)
    	}
    	// 读取内容。
    	data, err := ioutil.ReadAll(body)
    	body.Close()
    	data = data // use data
    
    	// 签名直传,下载到文件。
    	err = bucket.GetObjectToFileWithURL(signedURL, localDownloadedFilename)
    	if err != nil {
    		HandleError(err)
    	}
    }
    

使用STS进行临时授权

OSS可以通过阿里云STS (Security Token Service) 进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。STS更详细的解释请参见STS介绍

STS的优势如下:

  • 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。

  • 您无需关心权限撤销问题,访问令牌过期后自动失效。

使用STS访问OSS的流程请参见开发指南中的RAM和STS应用场景实践

以下代码用于使用STS凭证构造签名请求:

import "github.com/aliyun/aliyun-oss-go-sdk/oss"

// 用户拿到STS临时凭证后,通过其中的安全令牌(SecurityToken)和临时访问密钥(AccessKeyId和AccessKeySecret)生成OSSClient。
// 创建OSSClient实例。
client, err := oss.New("<yourEndpoint>", "<yourAccessKeyId>", "<yourAccessKeySecret>", oss.SecurityToken("<yourSecurityToken>"))
if err != nil {
	fmt.Println("Error:", err)
	os.Exit(-1)

// OSS操作。
}