Wil*_*ban 1 javascript amazon-s3 amazon-web-services
我试图从我的 JavaScript 前端应用程序中获取来自 S3 的图像对象。
根据文档,这些是所需的步骤:
import * as AWS from "aws-sdk";
AWS.config.update({accesKeyId, secretAccesKey, region});
let s3 = new AWS.S3();
然后,您可以像这样获取对象:
function listObjects(bucketName, folderName) {
return new Promise((resolve) => {
s3.listObjects({Bucket: bucketName, Prefix: folderName}).promise()
.then((data) => {
resolve(data.Contents);
})
});
}
一切似乎都正常工作,但让我担心的是,为了访问存储桶,我还需要在前端应用程序中保留 accessKeyId 和 secretAccessKey。
如何在不提供这些机密数据的情况下保护存储桶或访问对象?
你的担心是对的。任何人都可以从您的应用程序中取出凭据。有几种方法可以解决这个问题:
如果对象实际上并不敏感,那么如果凭证只能执行您希望允许每个人执行的操作,则不会有任何损失。就此而言,如果您正确设置了存储桶的权限,您应该能够一起摆脱对凭据的需求......我认为这包括必要时的列表权限。
如果对象是敏感的,那么您已经为您的用户提供了某种身份验证系统。如果您使用 Oauth 帐户进行身份验证(google、amazon、facebook 等),那么您可以使用 AWS Cognito 生成与该用户关联的短期 AWS 凭证,这将允许您区分用户之间的权限......它是如果已经在使用 oauth,那么它非常漂亮并且非常适合。如果您不使用 oauth,请考虑是否应该使用。这比必须为您的用户提供您自己的身份验证层要安全得多。 https://aws.amazon.com/cognito/
如果您不想或不能使用 cognito,您仍然可以从后端担任 AWS 角色并生成临时凭证,这些凭证会在 15 分钟到 1 小时或更长时间内自动过期,然后将这些凭证传递给前端. 我称之为“穷人的认知”,但我认为运行基础设施以提供服务实际上可能比认知成本更昂贵。
或者,正如@Tomasz Swinder 建议的那样,您可以简单地通过您的应用程序代理请求,将用户请求的资产解析为 s3 资源并将其拉入您的后端,然后为您的用户提供服务。在大多数情况下,这是一个较差的解决方案,因为您的服务器距离最终用户比 s3 的端点可能更远。而且,您必须运行基础设施来代理。但是,话虽如此,它有它的位置。
最后,预先签名的 s3 url 可能非常适合您的应用程序。通常,后端会在将 s3 url 提供给用户之前直接对其进行签名。签名足以授权操作(可以是 PUT或GET),但本身不包含用于签名的私钥 - 换句话说,预签名的 url 提供授权的 URL 但不提供用于授权它们的凭据,因此它们'是向 s3 提供临时授权的好方法。
总的来说,拥有一个无后端应用程序真的很棒,为此你需要一个 3rd 方身份验证和类似 cognito 的东西。但是一旦你开始使用它,你就可以使用各种 aws 服务来提供后端可以完成的工作。请注意权限,因为 aws 是随用随付,通常无法限制对服务的调用,以确保残酷的互联网用户通过使用您的临时信用进行大量调用来努力提高您的 AWS 账单”我提供了他们。一个值得注意的例外是 API Gateway,它确实允许每个用户的速率限制,因此非常适合认知授权的无服务器后端。
还要记住,LISTing s3 对象比 GETing s3 对象慢得多,而且成本也高得多(每个操作仍然便宜,但 10 倍),因此通常最好尽可能避免调用 lIST。我只是把它扔在那里,我怀疑你这样做只是为了测试 s3 连接。