使用go语言获取阿里云oss临时授权，实现小程序直传文件到阿里云oss_oss securitytoken

控制台操作

首先按照官方文档使用 STS 临时访问凭证访问 OSS进行控制台角色权限的操作，就不每一步发出来了，按着步骤傻瓜式操作就行，我这里发一下每一步的结果

步骤一、创建 RAM 用户

步骤一完成后获得 RAM 用户的 AccessKey ID 和 AccessKey Secret，保存下来

步骤二、为 RAM 用户授予请求 AssumeRole 的权限

步骤二就是授予刚刚创建的用户 AliyunSTSAssumeRoleAccess 权限

步骤三、创建用于获取临时访问凭证的角色

步骤三完成后是创建了一个用于获取临时访问凭证的角色，获得角色 ARN

步骤四、为角色授予上传文件的权限

步骤四可能有些人看不懂，看示例，码住的地方就是填要授权的 bucket 或 bucket 下的目录

授权整个bucket就填
[
	"acs:oss:*:*:bucket名",
	"acs:oss:*:*:bucket名/*"
]
授权bucket内的目录就填
[
	"acs:oss:*:*:bucket名/目录名",
	"acs:oss:*:*:bucket名/目录名/*"
]
1
2
3
4
5
6
7
8
9
10

第四步骤的第一小步完成后创建了一个 RamTestPolicy 权限策略

第四步骤的第二小步完成后将创建的权限策略授予了刚才创建的角色

使用 STS 获取临时授权

可参考官方文档Go 示例
首先安装 SDK

go get -u github.com/aliyun/alibaba-cloud-sdk-go/services/sts
1

根据官方提供的示例代码即可

package main

import (
	"fmt"
	"github.com/aliyun/alibaba-cloud-sdk-go/services/sts"
)

func main() {

    //构建一个阿里云客户端, 用于发起请求。
    //设置调用者（RAM用户或RAM角色）的AccessKey ID和AccessKey Secret。
    //第一个参数就是bucket所在位置，可查看oss对象储存控制台的概况获取
    //第二个参数就是步骤一获取的AccessKey ID
    //第三个参数就是步骤一获取的AccessKey Secret
    client, err := sts.NewClientWithAccessKey("cn-hangzhou", "<AccessKeyId>", "<AccessKeySecret>")

    //构建请求对象。
    request := sts.CreateAssumeRoleRequest()
    request.Scheme = "https"

    //设置参数。关于参数含义和设置方法，请参见《API参考》。
    request.RoleArn = "<RoleArn>" //步骤三获取的角色ARN
    request.RoleSessionName = "<RoleSessionName>"//步骤三中的RAM角色名称

    //发起请求，并得到响应。
    response, err := client.AssumeRole(request)
    if err != nil {
        fmt.Print(err.Error())
    }
    fmt.Printf("response is %#v\n", response)
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

简单写了一个接口，返回的 response，可以看到可以获取到临时授权访问的乱七八糟的数据

使用 Go 语言传文件到对象储存 oss

这块本来不想写的，因为我们用的小程序，如果使用这个的话，需要小程序先上传到后端服务器，然后后端拿到文件再上传到 oss，没有直传来得方便
以下是官方文档说的缺点：
1. 上传慢：用户数据需先上传到应用服务器，之后再上传到 OSS，网络传输时间比直传到 OSS 多一倍。如果用户数据不通过应用服务器中转，而是直传到 OSS，速度将大大提升。而且 OSS 采用 BGP 带宽，能保证各地各运营商之间的传输速度。 2. 扩展性差：如果后续用户数量逐渐增加，则应用服务器会成为瓶颈。 3. 费用高：需要准备多台应用服务器。由于 OSS 上行流量是免费的，如果数据直传到 OSS，将节省多台应用服务器的费用。
但是想到后面还要补充，所以就写一下

使用 Go 上传的话可以参考授权访问

首先安装 SDK

go get -u github.com/aliyun/aliyun-oss-go-sdk/oss
1

根据官方提供的示例代码即可

package main

import (
    "fmt"
    "github.com/aliyun/aliyun-oss-go-sdk/oss"
    "os"
)

func main() {
    // 从STS服务获取的安全令牌（SecurityToken）。
    securitytoken := "yourSecurityToken" //上面获取的临时授权的数据里的Credentials.SecurityToken
    // 从STS服务获取的临时访问密钥（AccessKey ID和AccessKey Secret）。
    // 从STS服务获取临时访问凭证后，您可以通过临时访问密钥和安全令牌生成OSSClient。
    // 创建OSSClient实例。
    // 第一个参数就是bucket的Endpoint，可以在对象储存oss控制台的bucket的概览得到，例如http://oss-cn-beijing.aliyuncs.com
    // 第二个参数就是上面获取的临时授权的数据里的Credentials.AccessKeyId
    // 第三个参数就是上面获取的临时授权的数据里的Credentials.AccessKeySecret
    client, err := oss.New("yourEndpoint", "yourAccessKeyId", "yourAccessKeySecret", oss.SecurityToken(securitytoken))
    if err != nil {
        fmt.Println("Error:", err)
    	os.Exit(-1)
    }
    // 填写Bucket名称，例如examplebucket。
    bucketName := "examplebucket"
    // 填写Object的完整路径，完整路径中不能包含Bucket名称，例如exampledir/exampleobject.txt。
    objectName := "exampledir/exampleobject.txt"
    // 填写本地文件的完整路径，例如D:\\localpath\\examplefile.txt。
    filepath := "D:\\localpath\\examplefile.txt"
    bucket,err := client.Bucket(bucketName)
    // 通过STS授权第三方上传文件。
    err = bucket.PutObjectFromFile(objectName,filepath)
    fmt.Println(err)
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

自己简单写了一个示例，上传我 D 盘下的 nginx-1.20.1.zip 文件，上传后的名称为“nginx-1.20.1.zip 上传测试”

可以看到目前我这里没有名称带 nginx 的文件

调用一下，可以看到没有报错

查看文件已经上传上来了

使用小程序直传 oss

可参考官方文档微信小程序直传实践，之前是使用的客户端签名，也就是在小程序内签名后直接使用，但是因为使用小程序签名还需要引入一些文件，并且现在是自己写后端，所以试着学习写一下

服务端签名

参考golang 对接阿里云私有 Bucket 上传图片、授权访问图片
我这里写基本是根据之前客户端签名改的，policy 失效时间之类的并没有做什么限制

// 结构体
type Policy struct {
	Expiration string          `json:"expiration"`
	Conditions [][]interface{} `json:"conditions"`
}
// 生成签名代码
	var policy Policy
	policy.Expiration = "9999-12-31T12:00:00.000Z"
	var conditions []interface{}
	conditions = append(conditions, "content-length-range")
	conditions = append(conditions, 0)
	conditions = append(conditions, 1048576000)
	policy.Conditions = append(policy.Conditions, conditions)
	policyByte, err := json.Marshal(policy)
	if err != nil {
		log.Println("序列化失败", err.Error())
		c.JSON(http.StatusOK, gin.H{
			"code": 1000,
			"msg":  "上传失败",
		})
	}
	policyBase64 := base64.StdEncoding.EncodeToString(policyByte)
	h := hmac.New(func() hash.Hash { return sha1.New() }, []byte(response.Credentials.AccessKeySecret))
	io.WriteString(h, policyBase64)
	signature := base64.StdEncoding.EncodeToString(h.Sum(nil))
	// 主要拿的就是下面这两个玩意
	fmt.Println("policyBase64：", policyBase64)
	fmt.Println("signature", signature)
	// 将这两个与前面获取的临时授权参数一起返回就好了
	c.JSON(http.StatusOK, gin.H{
		"code": 1,
		"data": gin.H{
			"response":     response,
			"policyBase64": policyBase64,
			"signature":    signature,
		},
		"msg": "获取成功",
	})
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

上传时就是用小程序的wx.chooseVideo和wx.uploadFile即可

wx.uploadFile({
	url: "",//阿里云oss上传url，在bucket里的概览可以找到bucket域名
	filePath: videoPath,//使用wx.chooseVideo选择文件时生成的临时路径
	name: 'file',
	formData: {
		'key': "test.mp4",//上传到oss后的文件名
		'policy': that.data.policyBase64,//上面获取到的policyBase64
		'OSSAccessKeyId': that.data.AccessKeyId,//上面获取到的临时授权的Credentials.AccessKeyId
		'signature': that.data.signature,//上面获取到的signature
		'success_action_status': '200',
		'x-oss-security-token': that.data.SecurityToken//上面获取到的临时授权的Credentials.SecurityToken
	},
	success: (res) => {
		if (res.statusCode === 204) {
			console.log('上传成功');
		}
	},
	fail: err => {
		console.log(err);
	}
})
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

客户端签名

使用客户端签名需要引入几个文件，文件可以在官方文档的JavaScript 客户端签名直传的步骤一中下载“浏览器客户端代码”，下载后解压出来，有一堆文件，需要用到的有四个，分别是 base64.js，crypto.js，hmac.js，sha1.js

把这四个文件放在小程序的项目包中方便引用，例如我放在了 utils 文件夹里

// 引入
const Base64 = require("../../utils/base64")
const Crypto = require("../../utils/crypto")
require("../../utils/hmac")
require("../../utils/sha1")
1
2
3
4
5

与上面类似

	// 生成签名
	var policyText = {
      "expiration": "9999-12-31T12:00:00.000Z", //设置该Policy的失效时间，超过这个失效时间之后，就没有办法通过这个policy上传文件了
      "conditions": [
        ["content-length-range", 0, 1048576000] // 设置上传文件的大小限制
      ]
    };

    var policyBase64 = Base64.encode(JSON.stringify(policyText))
    var bytes = Crypto.HMAC(Crypto.SHA1, policyBase64, that.data.AccessKeySecret, {
      asBytes: true
    });
    var signature = Crypto.util.bytesToBase64(bytes);
    // 主要拿的就是下面这两个玩意
    console.log(policyBase64)
    console.log(signature)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

上传时就是用小程序的wx.chooseVideo和wx.uploadFile即可

wx.uploadFile({
	url: "",//阿里云oss上传url，在bucket里的概览可以找到bucket域名
	filePath: videoPath,//使用wx.chooseVideo选择文件时生成的临时路径
	name: 'file',
	formData: {
		'key': "test.mp4",//上传到oss后的文件名
		'policy': policyBase64,//上面签名获取的policyBase64
		'OSSAccessKeyId': that.data.AccessKeyId,//上面获取到的临时授权的Credentials.AccessKeyId
		'signature': that.data.signature,//上面签名获取的signature
		'success_action_status': '200',
		'x-oss-security-token': that.data.SecurityToken//上面获取到的临时授权的Credentials.SecurityToken
	},
	success: (res) => {
		if (res.statusCode === 204) {
			console.log('上传成功');
		}
	},
	fail: err => {
		console.log(err);
	}
})
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21