这是一个创建于 1042 天前的主题,其中的信息可能已经有所发展或是发生改变。
前端开发同学,自己在做后端。
用户通过我们的产品(网站形式),上传的文件保存在 s3 ,如何能只允许用户自己访问(其它人拿到文件的链接不可以访问。) aw3 的文档看着摸不着头脑,是否只能通过 aws IAM 做到?
用户通过我们的产品(网站形式),上传的文件保存在 s3 ,如何能只允许用户自己访问(其它人拿到文件的链接不可以访问。) aw3 的文档看着摸不着头脑,是否只能通过 aws IAM 做到?
 |
1
qinxi 2022-01-18 13:35:58 +08:00
设置权限 private. 后端计算签名
|
 |
2
thevita 2022-01-18 13:42:31 +08:00
"只允许用户自己" 关键在于怎么确定是“用户自己”, 也就 用什么认证方式, 如果你的这个“用户自己”是 IAM 里的我想你应该知道怎么做了,如果这个“用户自己”是别的地方的恐怕就不行了
|
 |
3
ElmerZhang 2022-01-18 13:57:09 +08:00
s3 权限设为私有
你们自己网站做用户系统 用户上传文件时你们要记录用户 ID 和对应文件地址 用户要下载的时候通过你们网站生成的一次性下载地址来下载 |
 |
4
haozheliu 2022-01-18 14:08:09 +08:00
CloudFront + lambda edge 吧
|
 |
5
Mithril 2022-01-18 14:08:49 +08:00
自己做的用户系统就得你自己管,用 AWS 的 IAM 做的用户管理才可以直接套 S3 的权限。
|
 |
6
cominghome 2022-01-18 14:08:56 +08:00
这个需求很常见啊,用不上 IAM 。
S3 bucket 设置成私有,上传时记录好文件所有者信息,用户点击文件-->后端鉴权-->跳转到加签的 URL |
|
7
cominghome 2022-01-18 14:13:02 +08:00
参考: https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html
如果想实现类似一次性的效果,可把有效时间设置短一些 |
 |
8
ThanksSirAlex 2022-01-18 14:27:58 +08:00
设置私有,服务端统一保存秘钥,是不是用户本人,在自己的应用里面判断
|
 |
9
doyel 2022-01-18 14:44:11 +08:00
IAM 白名单或者是认证 token
|
 |
10
BeautifulSoap 2022-01-18 15:00:30 +08:00
你是要直接访问 s3 链接还是要在 s3 链接外套一层服务再访问?
直接访问 s3 链接需要首先在 IAM 里配置对应的 user 和 user 的策略只能访问指定的 bucket ,然后获取到用户的两个 KEY ,然后用这两个 KEY 来获取。至于怎么在代码里用,直接找 aws 的 sdk 就行,用 sdk 里附带的 s3 类配合认证信息获取图像 但这么做有个问题在于你必须明文把 aws 用户的两个 key 交给客户端,而且用户多了不可能每个用户都配置一个 user 所以一般做法还是在 s3 外套个自己写的服务器,在服务器内鉴权,成功之后通过你服务器获取 s3 中的图片而非直接拿 s3 的 url |
 |
11
awfe 2022-01-18 15:24:41 +08:00
虽然 S3 的 bucket 是可以通过设置来 Policy 控制哪个 User 可以访问,你还是得自己包装一层吧,你会给每个用户创建一个 IAM User 吗。如果是用 Cognito 的话好像还是得用户池和角色绑定,这块不太熟。
|
 |
12
git00ll 2022-01-18 18:28:37 +08:00
可以使用加签的链接在后端鉴权。但其他用户拿到了加签后的链接,肯定也是可以访问的。
|
 |
13
naoshier OP |
Select Language