在微软的用户委托密钥文档中,它说:
可以使用 Azure AD 凭据或帐户密钥来保护用于访问容器、目录或 blob 的 SAS 令牌。使用 Azure AD 凭据保护的 SAS 称为用户委派 SAS。Microsoft 建议您尽可能使用 Azure AD 凭据作为安全最佳实践,而不是使用帐户密钥,因为帐户密钥更容易被泄露。当应用程序设计需要共享访问签名时,请使用 Azure AD 凭据创建用户委派 SAS 以实现卓越的安全性。
为什么这种方法能够提供“卓越的安全性”?我想 SAS 令牌都是安全的?那么为什么一种方法比另一种方法更安全呢?如果您使用存储访问策略,当帐户密钥出现问题时,您还可以撤销 SAS 令牌。