适用场景
在默认情况下,存储桶和对象都是私有的。如果您希望第三方可以上传对象到存储桶,又不希望对方使用 CAM 账户或临时密钥等方式时,您可以使用预签名 URL 的方式将签名提交给第三方,以供完成临时的上传操作。收到有效预签名 URL 的任何人都可以上传对象。
预签名 URL 时,您可以在签名中设置将对象键包含在签名中,只许可上传为指定的对象键。您也可以在程序中指定预签名 URL 的有效时间,以保证超时后该 URL 不会被未授权方使用。
注意:
由于访问 CDN 域名需要遵循 CDN 的鉴权过程,无法使用 COS 签名,因此预签名 URL 不支持使用 CDN 域名。
建议用户使用临时密钥生成预签名,通过临时授权的方式进一步提高预签名上传、下载等请求的安全性。申请临时密钥时,请遵循 最小权限指引原则,防止泄露目标存储桶或对象之外的资源。
如果您一定要使用永久密钥来生成预签名,建议永久密钥的权限范围仅限于上传或下载操作,以规避风险。并且所生成的签名有效时长设置为完成本次上传或下载操作所需的最短期限,因为,当指定预签名 URL 的有效时间过期后,请求会中断;申请新的签名后,需要重新执行失败请求,不支持断点续传。
仅支持对单个对象进行预签名,不支持多个对象。
使用方法
使用 SDK
您可以直接调用 SDK 的预签名 URL 方法,请参见下列各语言 SDK 文档:
.NET SDK
小程序 SDK