golang對接阿里雲私有Bucket上傳圖片、授權訪問圖片
1、為什麼要設定私有bucket
- 公共讀寫:網際網路上任何使用者都可以對該 Bucket 內的檔案進行訪問,並且向該 Bucket 寫入資料。這有可能造成您資料的外洩以及費用激增,若被人惡意寫入違法資訊還可能會侵害您的合法權益
- 私有:只有該儲存空間的擁有者可以對該儲存空間內的檔案進行讀寫操作,其他人無法訪問該儲存空間內的檔案
鑑於以上,公司要求將bucket設定為私有,只有授權的使用者才能訪問
2、準備
2.1 建立RAM賬戶
開通OSS後賬戶,建立RAM賬戶,使用STS臨時訪問憑證訪問OSS,具體參考阿里雲文件
提示:在步驟四建立角色要將RAM角色賦予 AliyunOSSFullAccess 許可權 ,
因為此處沒設定oss最高許可權,我找了一天問題,大家謹記,寫這篇部落格也是記錄一下我的填坑之路
2.2 設定Bucket
-
在物件儲存中,Bucket列表建立私有Bucket
-
然後在此Bucket授權剛才建立OSS賬號id,授權操作為完全控制
3、上菜
3.1 常量及其結構體
- 根據自己阿里雲資訊去配置
const (
AccessKeyId = "**"//oss賬戶AK
AccessKeySecret = "**"//oss賬戶ST
stsEndpoint = "**"//sts.阿里雲物件儲存地址
RoleArn = "**"//建立角色用到的
RoleSessionName = "**"//建立角色用到的
BucketName = "**" //填寫Bucket名稱,例如examplebucket
Endpoint = "**"//阿里雲物件儲存地址
UploadOssUrl = "**" //返回給前端oss上傳地址
)
type StsTokenInfo struct {
StatusCode int `json:"StatusCode"`
AccessKeyId string `json:"AccessKeyId"`
AccessKeySecret string `json:"AccessKeySecret"`
SecurityToken string `json:"SecurityToken"`
Expiration string `json:"Expiration"`
}
type StsErrorInfo struct {
StatusCode int `json:"StatusCode"`
ErrorCode string `json:"ErrorCode"`
ErrorMessage string `json:"ErrorMessage"`
}
3.2 獲取STS臨時使用者資訊
package aliyun
import (
"fmt"
openapi "github.com/alibabacloud-go/darabonba-openapi/client"
sts "github.com/alibabacloud-go/sts-20150401/client"
"github.com/alibabacloud-go/tea/tea"
log "github.com/sirupsen/logrus"
)
//
// GetAliyunStsInfo
// @Description: 獲取STS臨時使用者資訊
// @param isReturnAll
// @return *sts.AssumeRoleResponseBody
//
func GetAliyunStsInfo() *sts.AssumeRoleResponseBody {
return generateStsInfo()
}
/**
* 生成STS臨時使用者資訊
*/
func generateStsInfo() *sts.AssumeRoleResponseBody {
client, _err := createClient(tea.String(AccessKeyId), tea.String(AccessKeySecret))
if _err != nil {
fmt.Print(_err.Error())
}
assumeRoleRequest := &sts.AssumeRoleRequest{
RoleArn: tea.String(RoleArn),
RoleSessionName: tea.String(RoleSessionName),
}
resp, err := client.AssumeRole(assumeRoleRequest)
if err != nil {
fmt.Print(err.Error())
}
fmt.Printf("獲取STS臨時使用者資訊:%v", resp)
log.Info("獲取STS臨時使用者資訊:", resp)
return (*resp).Body
}
/**
* 使用AK&SK初始化賬號Client
* @param accessKeyId
* @param accessKeySecret
* @return Client
* @throws Exception
*/
func createClient(accessKeyId *string, accessKeySecret *string) (_result *sts.Client, _err error) {
config := &openapi.Config{
AccessKeyId: accessKeyId,
AccessKeySecret: accessKeySecret,
}
// 訪問的域名
config.Endpoint = tea.String(stsEndpoint)
_result = &sts.Client{}
_result, _err = sts.NewClient(config)
return _result, _err
}
- 我是使用新版的SDK阿里雲demo中,修改了一下,具體參考文件
- 獲取STS臨時使用者資訊方法多個地方需要用到,所以我抽取出來供其他介面呼叫(比如授權訪問就需要STS臨時使用者資訊去生成signUrl)
3.3 介面呼叫
3.3.1不包含簽名的STS臨時使用者資訊
- 我這裡用的gin框架,這個介面是不包含前端需要的簽名(policy和Signature)的,需要前端使用oss外掛(全部資訊返回的寫在另一個介面)
/**
介面:獲取sts使用者
前端需要載入oss外掛
不需要則去呼叫policy檔案中AppAliyunPolicy
*/
func AppAliyunSts(c *gin.Context) {
response := GetAliyunStsInfo()
c.JSON(http.StatusOK, gin.H{
"code": 1,
"data": response,
})
return
}
- API呼叫,返回的資訊
3.3.2含簽名的STS臨時使用者資訊
- 此介面好處就在前端不需要額外載入多餘的包
package aliyun
import (
"crypto/hmac"
"crypto/sha1"
"encoding/base64"
"encoding/json"
"fmt"
"github.com/gin-gonic/gin"
log "github.com/sirupsen/logrus"
"hash"
"io"
"net/http"
"time"
)
/**
簽名直傳服務
用於小程式上傳圖片不用載入庫
*/
// 使用者上傳檔案時指定的字首。
//var upload_dir string = "user-dir/"
//過期時間3000秒
var expire_time int64 = 3000
type ConfigStruct struct {
Expiration string `json:"expiration"`
Conditions [][]string `json:"conditions"`
}
type PolicyToken struct {
StsTokenInfo
Expire int64 `json:"expire"`
Signature string `json:"signature"`
Policy string `json:"policy"`
Directory string `json:"dir"`
UploadOssUrl string `json:"uploadOssUrl"`
}
func AppAliyunPolicy(c *gin.Context) {
uploadDir := c.DefaultQuery("dir", "user-dir/")
//獲取token2中的accessKeyId,accessKeySecret
resp := GetAliyunStsInfo()
log.Info(resp)
now := time.Now().Unix()
expire_end := now + expire_time
var tokenExpire = getGmtIso8601(expire_end)
//create post policy json
var config ConfigStruct
config.Expiration = tokenExpire
var condition []string
condition = append(condition, "starts-with")
condition = append(condition, "$key")
condition = append(condition, uploadDir)
config.Conditions = append(config.Conditions, condition)
//calucate signature
result, err := json.Marshal(config)
debyte := base64.StdEncoding.EncodeToString(result)
h := hmac.New(func() hash.Hash { return sha1.New() }, []byte(*resp.Credentials.AccessKeySecret))
io.WriteString(h, debyte)
signedStr := base64.StdEncoding.EncodeToString(h.Sum(nil))
policyToken := &PolicyToken{}
policyToken.AccessKeyId = *resp.Credentials.AccessKeyId
policyToken.AccessKeySecret = *resp.Credentials.AccessKeySecret
policyToken.SecurityToken = *resp.Credentials.SecurityToken
policyToken.Expiration = *resp.Credentials.Expiration
policyToken.Expire = expire_end
policyToken.Signature = string(signedStr)
policyToken.Directory = uploadDir
policyToken.Policy = string(debyte)
policyToken.UploadOssUrl = UploadOssUrl
if err != nil {
fmt.Println("json err:", err)
}
c.JSON(http.StatusOK, gin.H{
"code": 1,
"data": policyToken,
})
return
}
func getGmtIso8601(expireEnd int64) string {
var tokenExpire = time.Unix(expireEnd, 0).UTC().Format("2006-01-02T15:04:05Z")
return tokenExpire
}
- Get介面攜帶引數dir,指定放在哪個資料夾
- 介面呼叫,返回資訊
3.4 授權訪問
3.4.1介面呼叫
- 阿里雲提供了兩種授權方式,URL授權和header頭授權,我這裡是圖片授權所以選擇了URL,圖片需要授權攜帶簽名引數才能請求到具體參考文件
package aliyun
import (
"fmt"
"github.com/aliyun/aliyun-oss-go-sdk/oss"
"github.com/gin-gonic/gin"
"net/http"
)
/**
圖片授權訪問
返回簽名後的URL
*/
func GetSignURL(c *gin.Context) {
accessKeyId := c.DefaultQuery("accessKeyId", "")
accessKeySecret := c.DefaultQuery("accessKeySecret", "")
securityToken := c.DefaultQuery("securityToken", "")
fullImgPath := c.DefaultQuery("fullImgPath", "") //圖片全路徑
//如果為空則去請求sts臨時使用者資訊
if accessKeyId == "" || accessKeySecret == "" || securityToken == "" {
stsTokenInfo := GetAliyunStsInfo()
accessKeyId = *stsTokenInfo.Credentials.AccessKeyId
accessKeySecret = *stsTokenInfo.Credentials.AccessKeySecret
securityToken = *stsTokenInfo.Credentials.SecurityToken
}
// 獲取STS臨時憑證後,您可以通過其中的安全令牌(SecurityToken)和臨時訪問金鑰(AccessKeyId和AccessKeySecret)生成OSSClient。
client, err := oss.New(Endpoint, accessKeyId, accessKeySecret, oss.SecurityToken(securityToken))
if err != nil {
fmt.Print(err.Error())
}
// 填寫檔案完整路徑,例如exampledir/exampleobject.txt。檔案完整路徑中不能包含Bucket名稱。
objectName := fullImgPath
// 獲取儲存空間。
bucket, err := client.Bucket(BucketName)
if err != nil {
fmt.Print(err.Error())
}
// 簽名直傳。
signedURL, err := bucket.SignURL(objectName, oss.HTTPGet, 6000)
if err != nil {
fmt.Print(err.Error())
}
c.JSON(http.StatusOK, gin.H{
"code": 1,
"data": signedURL,
})
}
- 這裡有四個引數,前上個引數是請求STS臨時使用者獲取到,前端傳遞過來的(此場景適用於上傳圖片後回顯圖片,就需要帶簽名的圖片URL),如果前端沒有傳這三個引數,我們需要自己再去呼叫之前GetAliyunStsInfo()去生成,
- fullImgPath引數就是圖片儲存的全路徑,填寫檔案完整路徑,例如exampledir/exampleobject.txt。檔案完整路徑中不能包含Bucket名稱。
3.4.2 API呼叫,返回資訊
- 如果沒有授權,則會提示
我碰到這個問題是因為沒有給RAM角色設定OSS最高許可權,謹記
- 如果過了有效期,則會提示
<Error>
<Code>AccessDenied</Code>
<Message>Request has expired.</Message>
<RequestId>***</RequestId>
<HostId>****</HostId>
<Expires>2022-04-02T08:42:47.000Z</Expires>
<ServerTime>2022-04-03T03:56:52.000Z</ServerTime>
</Error>
好了,以上介面經本人測試調通,耗時一天半,程式碼沒什麼,問題全出在配置許可權上了,用來記錄我的填坑之路
