AWS 服务器端临时凭证是否可用于客户端 S3 上传

Are AWS server-side TemporaryCredentials usable for client-side S3 upload?

本文关键字:用于 客户端 S3 上传 是否 服务器端 凭证 AWS      更新时间:2023-09-26

使用 AWS JavaScript SDK v2.2.29 的客户端版本(例如 Bower aws-sdk-js),这是可能的(尽管显然是不可接受的,因为它向客户端公开了真正的 AWS 凭证):

var region = 'us-east-1',
    accessKeyId = 'AZ12341234',
    secretAccessKey = 'aBCde1FGhij2KLMnOPqr3TUvwx4YZ';
var creds = new AWS.Credentials(accessKeyId, secretAccessKey);
creds.get(function() {
  s3Location = new AWS.S3({
    region: my.region,
    credentials: creds
  });
  ready(); // which presents the upload form, binds events, etc..
});

梦想是将该过程分为两部分,一个是安全的服务器端,另一个是客户端。

第 1 部分。使用 AWS JavaScript 开发工具包的 Nodejs 服务器端版本(例如 aws-sdk)执行此操作:

var creds = new AWS.TemporaryCredentials(accessKeyId,  secretAccessKey);
creds.get(function() {
  var aws = {
    accessKeyId: creds.accessKeyId,
    sessionToken: creds.sessionToken,
    region: my.region,
  };
  // e.g. makes aws var available to client
  res.render('form', {
    aws: aws
  });
}

第 2 部分。使用 AWS JavaScript 开发工具包的客户端版本(例如 Bower aws-sdk-js)执行以下操作:

// e.g. aws = <from-server-side>
var creds = new AWS.Credentials(aws.accessKeyId, null, aws.sessionToken);
creds.get(function() {
  s3Location = new AWS.S3({
    credentials: creds,
    region: aws.region
  });
  ready();
});

上面的代码似乎有效,直到实际的分块上传开始,导致 403:

<Code>SignatureDoesNotMatch</Code>
<Message>
    The request signature we calculated does not match the 
    signature you provided. Check your key and signing method.
</Message>

似乎 S3 开发工具包可能会受到限制,即使这样的交易在理论上是可能的,也不可能进行分段上传。

这应该可能吗?有什么想法吗?

对于您的特定问题,您应该查看这些凭据的角色/策略,并确保允许分段上传。

另一种解决方案是客户端请求服务器返回签名 URL,该 URL 允许客户端将文件直接获取/发布到 S3(不使用 AWS API,而是直接使用 HTTP)。

我使用FineUploader来做到这一点(用于上传),他们有一堆示例应该给你一个想法(即使你不想使用FineUploader)如何做到这一点:

http://docs.fineuploader.com/branch/master/endpoint_handlers/amazon-s3.html

赫鲁古也有一个例子:https://devcenter.heroku.com/articles/s3-upload-node

但是您正在做的事情(或使用 Cognito 做类似的事情)应该有效。因此,问题必须与要创建的临时凭证关联的角色/策略相关。

相关文章: