javascript - 在前端存储 AWS 凭证

Question

我正试图从我的 JavaScript 前端应用程序的 S3 中获取我的图像对象。

根据文档，这些是所需的步骤:

import * as AWS from "aws-sdk";

AWS.config.update({accesKeyId, secretAccesKey, region});

let s3 = new AWS.S3();

然后，您可以像这样获取对象:

function listObjects(bucketName, folderName) {
  return new Promise((resolve) => {
    s3.listObjects({Bucket: bucketName, Prefix: folderName}).promise()
      .then((data) => {
        resolve(data.Contents);
      })
  });
}

一切似乎都正常工作，但让我担心的是我还需要在我的前端应用程序中保留 accessKeyId 和 secretAccessKey，以便访问存储桶。

如何在不提供这些 secret 数据的情况下保护存储桶或访问对象？

Answer 1

你的担心是对的。任何人都可以从您的应用程序中取出凭据。有几种方法可以解决这个问题:

• 如果对象实际上并不敏感，那么如果凭据可以仅执行您希望允许所有人执行的操作，则不会有任何损失。就此而言，如果您正确设置存储桶的权限，您应该能够完全摆脱对凭据的需要。我认为，如果需要，这包括列表权限。

• 如果对象是敏感的，那么您已经为您的用户设置了某种身份验证系统。如果您使用 Oauth 帐户进行身份验证(google、amazon、facebook 等)，那么您可以使用 AWS Cognito 生成与该用户相关联的短期 AWS 凭证，这将允许您区分用户之间的权限……它是如果已经在使用 oauth，则非常漂亮且非常适合。如果您不使用 oauth，请考虑是否应该使用。它比必须为用户提供自己的 auth creds 层要安全得多。 https://aws.amazon.com/cognito/

• 如果您不想或不能使用 Cognito，您仍然可以从后端承担 AWS Angular 色并生成临时凭证，这些凭证会在 15 分钟到 1 小时或更长时间后自动过期，然后通过这些凭据到前端。我将其称为“穷人的认知”，但我认为运行基础设施以提供服务实际上可能比认知成本更昂贵。

• 或者，正如@Tomasz Swinder 建议的那样，您可以简单地通过您的应用程序代理请求，将用户请求的 Assets 解析为 s3 资源并将其拉入您的后端，然后为您的用户提供服务。在大多数情况下，这是一个较差的解决方案，因为您的服务器与最终用户的距离可能比 s3 的端点更远。而且，你必须运行基础设施来代理。但是，话虽这么说，它有它的位置。

• 最后，预签名 s3 url 可能非常适合您的应用程序。通常，后端会在将 s3 url 提供给用户之前直接对其进行签名。签名足以​​授权操作(可以是 PUT 或 GET)但本身不包含用于签名的私钥 - 换句话说，预签名 url 提供授权 URL 但不提供凭据用于授权它们，因此它们是向 s3 提供临时授权的好方法。

总的来说，拥有一个无后端的应用程序真的很棒，为此你需要第三方授权和类似 cognito 的东西。但是一旦你开始使用它，你就可以使用各种 aws 服务来提供后端可以完成的工作。请小心使用权限，因为 aws 是按使用量付费的，通常没有能力限制对服务的调用，以确保残酷的互联网用户努力通过大量制作来提高您的 AWS 账单使用您提供给他们的临时信用进行调用。一个值得注意的异常(exception)是 API 网关，它确实允许每个用户的速率限制，因此非常适合认知授权的无服务器后端。

另请记住，LISTing s3 对象比 GETing s3 对象慢得多，而且成本高得多(每个操作仍然便宜，但 10 倍)，因此通常最好尽可能避免调用 lIST。我只是把它扔在那里，我怀疑你这样做只是为了测试 s3 连接。