- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我知道有人对此有一些疑问。我知道如何使用 AWS SDK 完成此操作。
但是,我担心的是安全问题。我的计划是生成一个签名 URL,以便登录我网站的用户可以将文件上传到 S3。我在服务器端生成这个 url(基于 Express 框架)。
问题:有权访问此 URL 的任何人都可以将文件上传到我的存储桶。只有登录用户才能获得这些 url,但任何人都可以使用它们。
有没有一种方法可以生成一个“一次性使用”的 url 来使用 S3 进行身份验证?如果没有,是否有一种我可以使用的方法不会在客户端显示我的凭据并且不会将文件上传到我的服务器?(我知道,要求太多了:/)
最佳答案
除非您使您的资源公开可写,否则 S3 将要求上传请求包含身份验证信息。身份验证将请求与 AWS 帐户相关联,然后检查该帐户是否有权对资源执行请求(授权)。
参见 AWS documenation有关更多信息的身份验证请求。
用于生成身份验证信息的算法的最新版本称为“AWS 签名版本 4”。该算法使用帐户的 key 和其他一些数据来生成随请求一起发送的签名。
AWS 知道 key 并且可以重新计算签名。如果签名匹配,则请求被验证为来自该帐户。
AWS 开发工具包负责使用提供的账户凭证为您签署请求。 The docs描述了该算法的工作原理,并告诉您如果您真的愿意,可以如何自己签署请求。
您可以代表客户端在服务器上安全地生成一个签名的 URL,然后将其返回以供他们直接调用 S3,而不是在客户端保留一个 key ,以便它可以对向 S3 发出的请求进行签名从他们的机器。
此场景是 the docs 中提到的特定用例之一:
[P]re-signed URLs are useful if you want your user/customer to be able upload a specific object to your bucket, but you don't require them to have AWS security credentials or permissions.
When you create a pre-signed URL, you must provide your security credentials, specify a bucket name an object key, an HTTP method (PUT of uploading objects), and an expiration date and time.
The pre-signed URLs are valid only for the specified duration.
预签名请求中包含身份验证签名。如您所述,任何获得 URL 的人都可以发出请求。但是,我不会让这个事实单独阻止我使用它们;您可以采取多种措施来防止攻击者使用它。
考虑以下客户端和服务器之间的交互。
请求到期
在 URL 生成时使用 Expires
Parameter 控制过期.使用上述流程,URL 可能会在生成后几秒 过期。这段时间之后,它将不再有效并被 S3 拒绝。设置到期时,您需要考虑服务器与用户(步骤#5-#7)以及用户与 S3(步骤#8)之间的请求延迟。
在签名中包含文件校验和
使用 Body
Parameter您可以指示 S3 仅允许具有特定 MD5 校验和的内容。同样,但更安全的是,您可以要求 S3 根据文件的 SHA256 校验和验证负载。
在上述流程中的第 3 步之后,计算文件的 SHA256 校验和,并在第 4 步中将其传递给服务器。然后你可以像这样将它添加到请求中:
var req = S3.putObject({ Bucket: bucket_name, Key: file_name });
req.on('build', function() {
req.httpRequest.headers['x-amz-content-sha256'] = file_sha256;
});
var url = req.presign(url_expiry);
(引用:AWS.Request class docs、AWS S3 service source code - getSignedUrl 和 REST Common Request Headers)
获取上传URL需要身份验证
只有您的授权用户才能获得预签名的上传 URL。应拒绝获取上传 URL 的匿名请求(第 4 步)。
此外,由于这是一个特权调用,所有请求都应该被审计(步骤#6)。这样一来,如果预签名的请求泄露,您就会知道是谁生成的,并且可以在必要时采取进一步的行动。
使用 HTTPS
两个主要原因,为敏感数据提供保护,例如在客户端和服务器之间传输时的预签名 URL、用户名、密码和 session cookie。
它还向客户保证您就是您所说的那个人,而不是攻击者建立的虚假网站。
关于javascript - AWS 从客户端上传文件到 S3,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36192268/
对于在 AWS 云中配置基础设施,我们目前使用从 ansible 角色调用的云形成模板,但我们发现在增加基础设施的规模后,此代码在 GitHub 中变得非结构化或未模块化 Github上有意大利面条式
我一直在阅读documentation for AWS Cloudwatch events至trigger AWS Batch我不知道如何从 cloudwatch 事件触发 aws 批处理: 在 aw
我正在尝试使用入口控制器安装我的CA证书。我正在遵循这份指南。Https://docs.aws.amazon.com/eks/latest/userguide/aws-load-balancer-co
如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表? 在我的设置中,我有一个使用 lambda 实现各种微服务的无服务器应用程序。数据库是无
我看到了各种使用 AWS CDK 的示例,其中一些使用 aws-cdk-lib,另一些使用 @aws-cdk/core。这些之间有什么区别,什么时候应该使用一个或另一个? 最佳答案 aws-cdk-l
我看到了各种使用 AWS CDK 的示例,其中一些使用 aws-cdk-lib,另一些使用 @aws-cdk/core。这些之间有什么区别,什么时候应该使用一个或另一个? 最佳答案 aws-cdk-l
我在 cdk 研讨会上建立了一个小的 lambda 函数 here .我正在用 typescript 编写 lambda 函数,通过管道进行部署,该管道创建了一个包含 lambda 函数的云形成堆栈。
我刚刚开始使用 AWS 服务,尤其是 AWS Lambda。有没有办法从 Lambda 代码 (Java) 中使用 AWS KMS 服务。我想使用 KMS 来解密加密的外化(从属性读取) secret
CFN 模板是否可以根据参数向 ALB 添加一些特定的安全组? 我遇到了两个安全组添加到 ALB 的情况: ALB Type: AWS::ElasticLoadBalancingV2::LoadB
例如,我有一个主要公司 AWS 账户,其安全组为 xxxxx。现在我有了我的个人 aws 安全组-yyyyy。这些帐户根本不相关。我可以将接受组-yyyyy 添加到组-xxxxx 中,从而允许我的
我有一个 Lambda 函数,它有多个 MSK 触发器配置 - 每个都针对不同的主题。 如果 Lambda 的输入 ( MSKEvent ) 可以包含多个不同的主题,则未在官方文档中找到任何信息。 官
在 AWS Glue 中创建 JDBC 连接时,有什么方法可以从 AWS secret manager 获取密码而不是手动硬编码吗? 最佳答案 我必须在我当前的项目中这样做才能连接到 Cassandr
谁能告诉我: aws-sdk/clients/appsync , 和 aws-appsync 根据文档,aws-sdk/clients/appsync使用是因为只包括 aws-sdk当我们只需要 ap
我不小心删除了我的放大前端并创建了一个新前端。如何将现有的放大后端导入新创建的放大应用项目文件夹? 我按照后端标签上的步骤操作 amplify init --appId(“您的新AMPLIFY APP
我正在使用 Java Sdk 创建粘合作业。它只有两个必需的参数 Command 和 Glue 版本。 但我需要使用自动脚本生成来创建工作。正如我们可以从控制台做的那样,我们添加数据源、AWS Glu
目前我正在使用 AWS Glue 作业将数据加载到 RedShift,但在加载之后我需要运行一些可能使用 AWS Lambda 函数的数据清理任务。有没有办法在 Glue 作业结束时触发 Lambda
简单的 aws lambda 和 aws lambda@edge 有什么区别? 最佳答案 Lambda 根据某些触发器执行函数。 Lambda 的用例非常广泛,并且与许多 AWS 服务高度集成。您甚至
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 个月前。 社区 9
我正在尝试使用 Python 使用 AWS-CDK 创建托管广告。以下是错误,从 JavaScriptError(resp.stack) 引发 JSIIError(resp.error)jsii.er
这两个包似乎在很大程度上做同样的事情?这两个包之间的预期区别是什么,我应该使用哪个包? 最佳答案 Pipelines 是较新的 --experimental-- (编辑:它不再在 Experiment
我是一名优秀的程序员,十分优秀!