oss 开发中的 key 怎样获取才安全?

2017-06-01 15:06:00 +08:00
 onikage

手机端直接直接朝阿里的 oss 上传视频, 上传需要 accesskey, 这个 key 肯定不能写到 app 里面. 目前的做法是手机端传之前向服务器请求加密的 accesskey, 请求到以后手机用公钥解密, accesskey 始终只存在于内存中.

但是还是感觉有点不安全, 有没有可能别人拿到本地公钥? 特别担心 android 版的. 求靠谱方案.

10667 次点击
所在节点    Android
11 条回复
notes
2017-06-01 15:17:41 +08:00
可以区分不同用户,限制每个用户的量吗?
freestyle
2017-06-01 15:18:07 +08:00
用阿里云的访问控制 RAM 功能, 后端写个获取临时(最长 3600s)访问权限的服务, https://help.aliyun.com/document_detail/32059.html?spm=5176.doc32058.6.704.JQXxHp
kraymond
2017-06-01 15:51:49 +08:00
阿里云 OSS Android SDK 文档里我记得是给了两个解决方案的。
sunhr
2017-06-01 16:37:32 +08:00
目前的做法肯定是不行的,一旦被拿到 key 和 secret,对方可以直接删掉 OSS 里面所有内容

可以参考 SDK 的文档,使用 STS 鉴权

iOS: https://help.aliyun.com/document_detail/32059.html
Android: https://help.aliyun.com/document_detail/32046.html
onikage
2017-06-01 16:51:47 +08:00
非常感谢楼上各位, 我们其实是有使用 ram 的生成临时令牌的,
我担心的是客户端能伪造上传权限.在令牌过期前恶意上传大量文件.
sodarfish
2017-06-01 17:13:35 +08:00
恶意上传可以根据令牌或者用户做限制的吧
onikage
2017-06-01 19:27:01 +08:00
@sodarfish 这个似乎在文档里没看到过
Ouyangan
2017-06-01 19:53:48 +08:00
@sunhr #4 oss 可以设置读写权限的吧
LeeSeoung
2017-06-02 09:32:08 +08:00
只要你的 key 是在安卓端解密的,一般都是可以调试出来的。。所以你的做法不安全。
onikage
2017-06-02 12:30:01 +08:00
@LeeSeoung 有啥安全的方案吗? 现在就是想让 app 直接向 oss 安全的传数据.
LeeSeoung
2017-06-02 14:02:24 +08:00
自定义协议 https 不让走代理。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/365214

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX