控制台指南

最佳实践

开发者指南

API 文档

SDK 文档

临时密钥生成及使用指引

最近更新时间:2021-06-16 17:06:53

注意:

  • 使用临时密钥授权访问时,请务必根据业务需要,按照最小权限原则进行授权。如果您直接授予所有资源(resource:*),或者所有操作(action:*)权限,则存在由于权限范围过大导致的数据安全风险。
  • 您在申请临时密钥时,如果指定了权限范围,那么申请到的临时密钥也只能在权限范围内进行操作。例如您在申请临时密钥时,指定了可以往存储桶 examplebucket-1-1250000000 上传文件的权限范围,那么申请到的密钥不能将文件上传到 examplebucket-2-1250000000,也不能从 examplebucket-1-1250000000 中下载文件。

临时密钥

临时密钥(临时访问凭证) 是通过 CAM 云 API 提供的接口,获取到权限受限的密钥。
COS API 可以使用临时密钥计算签名,用于发起 COS API 请求。
COS API 请求使用临时密钥计算签名时,需要用到获取临时密钥接口返回信息中的三个字段,如下:

  • TmpSecretId
  • TmpSecretKey
  • Token

使用临时密钥的优势

Web、iOS、Android 使用 COS 时,通过固定密钥计算签名方式不能有效地控制权限,同时把永久密钥放到客户端代码中有极大的泄露风险。如若通过临时密钥方式,则可以方便、有效地解决权限控制问题。
例如,在申请临时密钥过程中,可以通过设置权限策略 policy 字段,限制操作和资源,将权限限制在指定的范围内。

有关 COS API 授权策略,请参见:

获取临时密钥

获取临时密钥,可以通过提供的 COS STS SDK 方式获取,也可以直接请求 STS 云 API 的方式获取。

注意:

举例使用的是 Java SDK ,需要在 GitHub 上获取 SDK 代码(版本号)。若提示找不到对应 SDK 版本号,请确认是否在 GitHub 上获取到对应版本的 SDK。

COS STS SDK

COS 针对 STS 提供了 SDK 和样例,目前已有 Java、Nodejs、PHP、Python、Go 等多种语言的样例。具体内容请参见 COS STS SDK。各个 SDK 的使用说明请参见 Github 上的 README 和样例。

注意:

STS SDK 为了屏蔽 STS 接口本身版本间的差异性,返回参数结构不一定与 STS 接口完全一致,详细请参见 Java SDK 文档 说明。

假设您使用的是 Java SDK,请先下载 Java SDK,然后运行如下获取临时密钥示例:

// 根据 github 提供的 maven 集成方法导入 java sts sdk 
import java.util.*;
import org.json.JSONObject; 
import com.tencent.cloud.CosStsClient;
public class Demo {
  public static void main(String[] args) {
      TreeMap<String, Object> config = new TreeMap<String, Object>();
    try {
    // 替换为您的 SecretId 
    config.put("SecretId", "AKIDHTVVaV34t5G45YOb6y65R6e3****");
    // 替换为您的 SecretKey
    config.put("SecretKey", "PdkhT9e2t43t45B42FE79rZCfy6****");

    // 临时密钥有效时长,单位是秒,默认1800秒,目前主账号最长2小时(即7200秒),子账号最长36小时(即129600秒)
    config.put("durationSeconds", 1800);

    // 换成您的 bucket
    config.put("bucket", "examplebucket-1250000000");
    // 换成 bucket 所在地区
    config.put("region", "ap-guangzhou");

    // 这里改成允许的路径前缀,可以根据自己网站的用户登录态判断允许上传的具体路径,例子:a.jpg 或者 a/* 或者 * 。
    // 如果填写了“*”,将允许用户访问所有资源;除非业务需要,否则请按照最小权限原则授予用户相应的访问权限范围。
    config.put("allowPrefix", "a.jpg");

    // 密钥的权限列表。必须在这里指定本次临时密钥所需要的权限。
    // 简单上传、表单上传和分片上传需要以下的权限,其他权限列表请看 https://cloud.tencent.com/document/product/436/31923
    String[] allowActions = new String[] {
            // 简单上传
            "name/cos:PutObject",
            // 表单上传、小程序上传
            "name/cos:PostObject",
            // 分片上传
            "name/cos:InitiateMultipartUpload",
            "name/cos:ListMultipartUploads",
            "name/cos:ListParts",
            "name/cos:UploadPart",
            "name/cos:CompleteMultipartUpload"
    };
    config.put("allowActions", allowActions);

    JSONObject credential = CosStsClient.getCredential(config);
    //成功返回临时密钥信息,如下打印密钥信息
    System.out.println(credential);
} catch (Exception e) {
    //失败抛出异常
    throw new IllegalArgumentException("no valid secret !");
}
  }
}

使用临时密钥访问 COS

COS API 使用临时密钥访问 COS 服务时,通过 x-cos-security-token 字段传递临时 sessionToken,通过临时 SecretId 和 SecretKey 计算签名。

以 COS Java SDK 为例,使用临时密钥访问 COS 示例如下:

说明:

运行如下示例前,请前往 Github 项目 获取 Java SDK 安装包。

// 根据 github 提供的 maven 集成方式导入 cos xml java sdk
import com.qcloud.cos.*;
import com.qcloud.cos.auth.*;
import com.qcloud.cos.exception.*;
import com.qcloud.cos.model.*;
import com.qcloud.cos.region.*;
public class Demo {
  public static void main(String[] args) throws Exception {
       // 用户基本信息
      String tmpSecretId = "COS_SECRETID";   // 替换为 STS 接口返回给您的临时 SecretId 
      String tmpSecretKey = "COS_SECRETKEY";  // 替换为 STS 接口返回给您的临时 SecretKey
      String sessionToken = "Token";  // 替换为 STS 接口返回给您的临时 Token
       // 1 初始化用户身份信息(secretId, secretKey)
      COSCredentials cred = new BasicCOSCredentials(tmpSecretId, tmpSecretKey);
      // 2 设置 bucket 区域,详情请参阅 COS 地域 https://cloud.tencent.com/document/product/436/6224
      ClientConfig clientConfig = new ClientConfig(new Region("ap-beijing"));
      // 3 生成 cos 客户端
      COSClient cosclient = new COSClient(cred, clientConfig);
      // bucket 名需包含 appid
      String bucketName = "examplebucket-1250000000";
       String key = "doc/picture.jpg";
      // 上传 object, 建议 20M 以下的文件使用该接口
      File localFile = new File("src/test/resources/text.txt");
      PutObjectRequest putObjectRequest = new PutObjectRequest(bucketName, key, localFile);
       // 设置 x-cos-security-token header 字段
      ObjectMetadata objectMetadata = new ObjectMetadata();
      objectMetadata.setSecurityToken(sessionToken);
      putObjectRequest.setMetadata(objectMetadata);
       try {
          PutObjectResult putObjectResult = cosclient.putObject(putObjectRequest);
          // 成功:putobjectResult 会返回文件的 etag
          String etag = putObjectResult.getETag();
      } catch (CosServiceException e) {
    //失败,抛出 CosServiceException
          e.printStackTrace();
      } catch (CosClientException e) {
    //失败,抛出 CosClientException
          e.printStackTrace();
      }
       // 关闭客户端
      cosclient.shutdown();
   }
}
目录