Android SDK提供了STS鉴权模式和自签名模式来保障移动终端的安全性。

背景信息

无论是STS鉴权模式还是自签名模式,您实现的回调函数都需要保证调用时的返回结果。如果您需要实现向业务Server获取Token、Signature的网络请求,建议调用网络库的同步接口。回调都是在SDK发起具体请求时,在请求的子线程中执行,所以不会阻塞主线程。

STS鉴权模式

说明 使用STS模式授权需要先开通阿里云访问控制RAM服务。

OSS可以通过阿里云STS (Security Token Service) 进行临时授权访问。阿里云STS是为云计算用户提供临时访问令牌的Web服务。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。STS更详细的解释请参见STS介绍

STS的优势如下:

  • 您无需透露您的长期密钥(AccessKey)给第三方应用,只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。
  • 您无需关心权限撤销问题,访问令牌过期后自动失效。

使用STS访问OSS的流程请参见开发指南中的STS临时授权访问OSS

  • 设置StsToken

    您可以在App中,预先通过某种方式(如通过网络请求从您的业务Server上)获取StsToken,然后用StsToken初始化SDK。通过这种方式获取StsToken时需要注意StsToken的过期时间,并在StsToken即将过期时手动更新StsToken到SDK中。

    初始化SDK示例代码如下:

    String endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
    
    OSSCredentialProvider credentialProvider = new OSSStsTokenCredentialProvider("<StsToken.AccessKeyId>", "<StsToken.SecretKeyId>", "<StsToken.SecurityToken>");
    
    OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);
    					

    当判断StsToken即将过期时,您可以重新构造OSSClient,也可以通过如下方式更新CredentialProvider:

    oss.updateCredentialProvider(new OSSStsTokenCredentialProvider("<StsToken.AccessKeyId>", "<StsToken.SecretKeyId>", "<StsToken.SecurityToken>"));
    					
  • 获取StsToken回调

    如果您期望SDK自动更新StsToken,那么您需要在SDK的应用中实现回调。通过您实现回调的方式去获取Federation Token(即StsToken),SDK会使用此StsToken来进行加签处理,并在需要更新时主动调用此回调来获取StsToken:

    String endpoint = "http://oss-cn-hangzhou.aliyuncs.com";
    
    OSSCredentialProvider credentialProvider = new OSSFederationCredentialProvider() {
    
        @Override
        public OSSFederationToken getFederationToken() {
        // 获取FederationToken,并将其构造为OSSFederationToken对象返回。如果因某种原因FederationToken获取失败,服务器则直接返回null。
    
            OSSFederationToken * token;
            // 从您的服务器中获取token。
            ...
            return token;
        }
    };
    
    OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);
    					
    说明 此外,如果您已经通过别的方式获取了StsToken所需的各个字段,也可以在回调中直接返回StsToken。但您需要手动处理StsToken的更新,且更新后重新设置该OSSClient实例的OSSCredentialProvider。

    假设您访问的Server地址为:http://localhost:8080/distribute-token.json ,则返回的数据如下:

    {
        "StatusCode": 200,
        "AccessKeyId":"STS.iA645eTOXEqP3cg3****",
        "AccessKeySecret":"rV3VQrpFQ4BsyHSAvi5NVLpPIVffDJv4LojU****",
        "Expiration":"2015-11-03T09:52:59Z",
        "SecurityToken":"CAES7QIIARKAAZPlqaN9ILiQZPS+JDkS/GSZN45RLx4YS/p3OgaUC+oJl3XSlbJ7StKpQ****"}
    					

    实现OSSFederationCredentialProvider的示例如下:

    OSSCredentialProvider credetialProvider = new OSSFederationCredentialProvider() {
        @Override
        public OSSFederationToken getFederationToken() {
            try {
                URL stsUrl = new URL("http://localhost:8080/distribute-token.json");
                HttpURLConnection conn = (HttpURLConnection) stsUrl.openConnection();
                InputStream input = conn.getInputStream();
                String jsonText = IOUtils.readStreamAsString(input, OSSConstants.DEFAULT_CHARSET_NAME);
                JSONObject jsonObjs = new JSONObject(jsonText);
                String ak = jsonObjs.getString("AccessKeyId");
                String sk = jsonObjs.getString("AccessKeySecret");
                String token = jsonObjs.getString("SecurityToken");
                String expiration = jsonObjs.getString("Expiration");
                return new OSSFederationToken(ak, sk, token, expiration);
            } catch (Exception e) {
                e.printStackTrace();
            }
            return null;
        }
    };
    					

自签名模式

您可以把AccessKey ID和AccessKey Secret保存在您的服务器中,然后在SDK中实现回调,并将需要加签的签名串传到服务器。在服务器中按照OSS规定的签名算法对这个签名串完成签名后,然后将结果返回给回调函数,并将回调函数返回给服务器。

签名算法请参见在Header中包含签名

content是已根据请求参数拼接后的字符串,其算法为:

signature = "OSS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content))
			

示例代码如下:

String endpoint = "http://oss-cn-hangzhou.aliyuncs.com";

credentialProvider = new OSSCustomSignerCredentialProvider() {
    @Override
    public String signContent(String content) {
    // 按照OSS规定的签名算法加签字符串,并将得到的加签字符串拼接AccessKeyId后返回。
    // 将加签的字符串传给您的服务器,然后返回签名。如果因某种原因加签失败,服务器描述错误信息后返回null。

        return "OSS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content));
    }
};

OSS oss = new OSSClient(getApplicationContext(), endpoint, credentialProvider);