服务端实现阿里云OSS直传

最新推荐文章于 2026-04-26 09:50:46 发布
原创 最新推荐文章于 2026-04-26 09:50:46 发布 · 1k 阅读 · 8 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#阿里云 #云计算
Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

介绍

阿里云上传 OSS 有两种方式,一种是普通上传,一种是客户端直传。

  1. 普通上传,就是需要先将文件上传到服务端,然后调用接口将文件上传到阿里云。

当然这种方案经常出现不合理的使用方式,即客户端充当服务端的角色,在本地直接通过AK/SK,调用阿里云接口上传文件。

不建议客户端直接这样做,一旦AK/SK泄露,存在很大的安全隐患,有可能被盗用。

  1. 客户端直传

通过服务器下发上传令牌,客户端通过使用临时令牌,直接上传到阿里云 OSS。

这种是最佳方案,不仅安全,而且不占用服务器带宽,传输速度快。

接下来,本文围绕这种方案介绍如何实现,并以 Python 语言为例,其他语言的实现类似,可以从参考文档下载相应的 Demo

配置权限

创建用户并生成 AK,SK

这里建议专门为 API 调用创建一个用户,然后生成AK,SK,记录好AK,SK以便后续使用,并授予权限。

点击权限管理,添加 AliyunSTSAssumeRoleAccess (调用STS服务AssumeRole接口的权限)

在这里插入图片描述

创建角色

创建一个角色,创建成功后,记录角色的 ARN,后面代码中会用到,为了方便演示,这里将角色命名为:ramossuploadonly

在这里插入图片描述

添加权限策略

导航栏找到权限策略,点击创建,点击“脚本编辑”, 在文本框中输入以下内容,将 <Bucket名称> 替换成自己的 Bucket 名称,然后点击保存,

例如,bucket 名称为 oss-upload-demo,则 Resource 填写为 "acs:oss:*:*:oss-upload-demo/*"

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "oss:PutObject",
      "Resource": "acs:oss:*:*:<Bucket名称>/*"
    }
  ]
}

点击保存,例如可将名称命名为 oss-upload-policy

为角色授权

回到刚刚添加的角色 ramossuploadonly,点击新增授权,从权限策略中搜索刚刚添加的 oss-upload-policy,点击确认新增授权。

这样权限就配置完成了。

创建 bucket

打开对象存储 OSS,点击创建 Bucket,在弹窗中输入 bucket 名称

在这里插入图片描述

需要注意的是,需要记住这里的选择地域,后面代码中会用到,OSS上传需要指定地域,本文中选择北京

编写代码

安装依赖

主要用到以下的依赖包, requirements.txt 文件内容如下

Flask
alibabacloud-credentials
alibabacloud-tea-openapi
alibabacloud-sts20150401
oss2

使用 pip 安装:

pip install -r requirements.txt

创建 main.py 文件

基于官方 demo,主要修改以下内容:

access_key_id = '###AK###'
access_key_secret = '###SK###'
role_arn_for_oss_upload = '###acs:ram::19920XXX5721:role/roleoss###'

# 自定义会话名称
role_session_name = 'yourRoleSessionName'

# 替换为实际的bucket名称、region_id、host
bucket = ' oss-upload-demo'
region_id = 'cn-beijing'
host = 'http://oss-upload-demo.oss-cn-beijing.aliyuncs.com'

这里 access_key_id, access_key_secret 为最开始创建用户后,拿到的 AK,SK 的值,替换成相应的内容。

role_arn_for_oss_upload 为创建的 RAM 角色ramossuploadonly时,拿到的 ARN,可以打开角色详情找到ARN。

bucket 为自己创建的 bucket 名称,本示例中为 oss-upload-demo
region_id 为 bucket 所在的区域,本示例中为 cn-beijing
host 为 bucket 的访问地址,本示例中为 http://oss-upload-demo.oss-cn-beijing.aliyuncs.com, 根据不同的区域,访问地址不同,可以通过OSS地域和访问域名, 找到 bucket 对应地域的访问域名,选择外网 Endpoint

在这里插入图片描述

需要注意的是,官方 demo 中,需要全搜索 cn-hangzhou, 替换掉 bucket 地域的 ID

完整内容如下:

from flask import Flask, render_template, jsonify, request
from alibabacloud_tea_openapi.models import Config
from alibabacloud_sts20150401.client import Client as Sts20150401Client
from alibabacloud_sts20150401 import models as sts_20150401_models
import os
import json
import base64
import hmac
import datetime
import time
import hashlib

import oss2

app = Flask(__name__)

# 配置环境变量 OSS_ACCESS_KEY_ID, OSS_ACCESS_KEY_SECRET, OSS_STS_ROLE_ARN
# access_key_id = os.environ.get('OSS_ACCESS_KEY_ID')
# access_key_secret = os.environ.get('OSS_ACCESS_KEY_SECRET')
# role_arn_for_oss_upload = os.environ.get('OSS_STS_ROLE_ARN')

access_key_id = '###AK###'
access_key_secret = '###SK###'
role_arn_for_oss_upload = '###acs:ram::19920XXX5721:role/roleoss###'

# 自定义会话名称
role_session_name = 'yourRoleSessionName'

# 替换为实际的bucket名称、region_id、host
bucket = ' oss-upload-demo'
region_id = 'cn-beijing'
host = 'http://oss-upload-demo.oss-cn-beijing.aliyuncs.com'

# 指定过期时间,单位为秒
expire_time =  1000

# 指定上传到OSS的文件前缀
upload_dir = 'dir'

def hmacsha256(key, data):
    """
    计算HMAC-SHA256哈希值的函数
    :param key: 用于计算哈希的密钥,字节类型
    :param data: 要进行哈希计算的数据,字符串类型
    :return: 计算得到的HMAC-SHA256哈希值,字节类型
    """
    try:
        mac = hmac.new(key, data.encode(), hashlib.sha256)
        hmacBytes = mac.digest()
        return hmacBytes
    except Exception as e:
        raise RuntimeError(f"Failed to calculate HMAC-SHA256 due to {e}")

@app.route("/")
def hello_world():
    return render_template('index.html')

@app.route('/get_post_signature_for_oss_upload', methods=['GET'])
def generate_upload_params():
    # 初始化配置,直接传递凭据
    config = Config(
        region_id=region_id,
        access_key_id=access_key_id,
        access_key_secret=access_key_secret
    )

    # 创建 STS 客户端并获取临时凭证
    sts_client = Sts20150401Client(config=config)
    assume_role_request = sts_20150401_models.AssumeRoleRequest(
        role_arn=role_arn_for_oss_upload,
        role_session_name=role_session_name
    )
    response = sts_client.assume_role(assume_role_request)
    token_data = response.body.credentials.to_map()

    # 使用 STS 返回的临时凭据
    temp_access_key_id = token_data['AccessKeyId']
    temp_access_key_secret = token_data['AccessKeySecret']
    security_token = token_data['SecurityToken']

    now = int(time.time())
    # 将时间戳转换为datetime对象
    dt_obj = datetime.datetime.utcfromtimestamp(now)
    # 在当前时间增加3小时,设置为请求的过期时间
    dt_obj_plus_3h = dt_obj + datetime.timedelta(hours=3)

    # 请求时间
    dt_obj_1 = dt_obj.strftime('%Y%m%dT%H%M%S') + 'Z'
    # 请求日期
    dt_obj_2 = dt_obj.strftime('%Y%m%d')
    # 请求过期时间
    expiration_time = dt_obj_plus_3h.strftime('%Y-%m-%dT%H:%M:%S.000Z')
    # 定义回调参数Base64编码函数。
    def encode_callback(callback_params):
        cb_str = json.dumps(callback_params).strip()
        return oss2.compat.to_string(base64.b64encode(oss2.compat.to_bytes(cb_str)))

    # 构建回调配置并 Base64 编码
    callback_config = {
        "callbackUrl": "http://x.x.x.x/images/callback",  # 替换为您的回调服务器地址
        "callbackBody": "bucket=${bucket}&object=${object}&etag=${etag}&size=${size}",
        "callbackBodyType": "application/x-www-form-urlencoded"
    }
    encoded_callback = encode_callback(callback_config)
    # 构建 Policy 并生成签名
    policy = {
        "expiration": expiration_time,
        "conditions": [
            ["eq", "$success_action_status", "200"],
            {"x-oss-signature-version": "OSS4-HMAC-SHA256"},
            {"x-oss-credential": f"{temp_access_key_id}/{dt_obj_2}/{region_id}/oss/aliyun_v4_request"},
            {"x-oss-security-token": security_token},
            {"x-oss-date": dt_obj_1},
        ]
    }
    policy_str = json.dumps(policy).strip()

    # 步骤2:构造待签名字符串(StringToSign)
    stringToSign = base64.b64encode(policy_str.encode()).decode()

    # 步骤3:计算SigningKey
    dateKey = hmacsha256(("aliyun_v4" + temp_access_key_secret).encode(), dt_obj_2)
    dateRegionKey = hmacsha256(dateKey, region_id)
    dateRegionServiceKey = hmacsha256(dateRegionKey, "oss")
    signingKey = hmacsha256(dateRegionServiceKey, "aliyun_v4_request")

    # 步骤4:计算Signature
    result = hmacsha256(signingKey, stringToSign)
    signature = result.hex()

    # 组织返回数据
    response_data = {
        'policy': stringToSign,  # 表单域
        'x_oss_signature_version': "OSS4-HMAC-SHA256",  # 指定签名的版本和算法,固定值为OSS4-HMAC-SHA256
        'x_oss_credential': f"{temp_access_key_id}/{dt_obj_2}/cn-beijing/oss/aliyun_v4_request",  # 指明派生密钥的参数集
        'x_oss_date': dt_obj_1,  # 请求的时间
        'signature': signature,  # 签名认证描述信息
        'host': host,
        'dir': upload_dir,
        'security_token': security_token,  # 安全令牌
        #'callback': encoded_callback   # 返回 Base64 编码的回调配置
    }

    return jsonify(response_data)


if __name__ == "__main__":
    app.run(host="127.0.0.1", port=8000)  # 如果需要监听其他地址如0.0.0.0,需要您自行在服务端添加认证机制

这里下载好官方给出的 Demo

创建 html 页面

在项目中创建目录 templates,然后创建一个 index.html 文件,内容为:

<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>服务端生成签名上传文件到OSS</title>
</head>
<body>
<div class="container">
    <form>
        <div class="mb-3">
            <label for="file" class="form-label">选择文件:</label>
            <input type="file" class="form-control" id="file" name="file" required />
        </div>
        <button type="submit" class="btn btn-primary">上传</button>
    </form>
    <div id="callback-info" class="mt-3" style="display: none;">
        <h4>回调信息:</h4>
        <pre id="callback-content"></pre>
    </div>
</div>

<script type="text/javascript">
document.addEventListener('DOMContentLoaded', function () {
    const form = document.querySelector("form");
    const fileInput = document.querySelector("#file");
    const callbackInfo = document.querySelector("#callback-info");
    const callbackContent = document.querySelector("#callback-content");

    form.addEventListener("submit", (event) => {
        event.preventDefault();

        const file = fileInput.files[0];

        if (!file) {
            alert('请选择一个文件再上传。');
            return;
        }

        const filename = file.name;

        fetch("/get_post_signature_for_oss_upload", { method: "GET" })
            .then((response) => {
                if (!response.ok) {
                    throw new Error("获取签名失败");
                }
                return response.json();
            })
            .then((data) => {
                let formData = new FormData();
                formData.append("success_action_status", "200");
                formData.append("policy", data.policy);
                formData.append("x-oss-signature", data.signature);
                formData.append("x-oss-signature-version", "OSS4-HMAC-SHA256");
                formData.append("x-oss-credential", data.x_oss_credential);
                formData.append("x-oss-date", data.x_oss_date);
                formData.append("key", data.dir + file.name); // 文件名
                formData.append("x-oss-security-token", data.security_token);
                formData.append("callback", data.callback);  // 添加回调参数
                formData.append("file", file); // file 必须为最后一个表单域

                return fetch(data.host, {
                    method: "POST",
                    body: formData
                });
            })
            .then((response) => {
                if (response.ok) {
                    console.log("上传成功");
                    alert("文件已上传");
                    return response.json();  // 解析回调信息
                } else {
                    console.log("上传失败", response);
                    alert("上传失败,请稍后再试");
                }
            })
            .then((callbackData) => {
                if (callbackData) {
                    callbackContent.textContent = JSON.stringify(callbackData, null, 2);
                    callbackInfo.style.display = "block";
                }
            })
            .catch((error) => {
                console.error("发生错误:", error);
            });
    });
});
</script>
</body>
</html>

代码写好后,运行服务。

python server.py

这将启动服务后,打开浏览器访问 http://127.0.0.1:8000, 将展示一个简单的上传页面,进行测试

在这里插入图片描述

首先选择文件,然后点击上传,这将先获取临时上传令牌,然后使用令牌,直接将文件上传到阿里云OSS

参考资料

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

阿里云对象存储OSS前端直传,(配合uView组件使用)
weixin_55521186的博客
07-07 899
uni.uploadFile为uniapp的api而formData该参数可以请求额外的form data。那么我们应该传哪些额外的参数呢?可以查看阿里云对象存储的相关文档。看看哪些是必传的,哪些是非必传的。然后将参数传过去就可以了。根据uniapp官网。
阿里云OSS直传,你的Policy安全吗?从签名泄露到权限过大的避坑指南
最新发布
weixin_28713947的博客
04-26 207
本文深入探讨阿里云OSS直传方案中的Policy安全风险,提供从签名泄露防护到权限精细化控制的实战策略。通过分析六大安全隐患,给出包括STS临时凭证、服务端校验和客户端防御在内的多层加固方案,帮助开发者构建安全的OSS直传体系,避免权限过大或签名泄露导致的数据风险。
阿里云对象存储(oss)之服务端签名后直传
HaoGeCSDN2002的博客
03-12 2733
阿里云对象存储(oss)之服务端签名后直传
【已解决】OSS配置问题
qq_73181349的博客
01-25 1377
RuntimeException com.aliyun.oss.common.auth.InvalidCredentialsException: Access key id should not be null or empty. [Client]Unable to execute HTTP request: Connect to xxxx.oss-cn-beijing-internal.aliyuncs.com:80 failed: Connection timed out: connect
阿里云 OSS 客户端直传 Policy 模式使用
热门推荐
小毕超博客
01-09 1万+
一、OSS Policy 模式 Post policy 是阿里推出的一种安全的文件上传方式,在传统的方式一般都是客户端将文件上传至服务端,再由服务端将文件上传至具体的文件系统比如阿里云OSS,这种方式不仅增加了我们服务器的带宽,而且效率也不怎么高,为此阿里提出的policy 模式,是由服务端进行签名,客户端拿到签名后的 policy 直连阿里云OSS进行上传文件,并且阿里也提供了上传后的回调方案。 流程如下图所示: 用户要上传一个文件到OSS,而且希望将上传的结果返回给应用服务器时,需要设置一个回调函
前端直传阿里云OSS
dan_seek的博客
08-29 1万+
前端直传阿里云OSS,支持h5,支持小程序,支持uniapp。 阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云对外提供的海量、安全、低成本、高可靠的云存储服务。
OSS服务端签名后直传实现阿里云存储上传文件
陈宝子的博客
08-23 5014
阿里云对象存储OSS(Object Storage Service)是一款海量、安全、低成本、高可靠的云存储服务,这也是我们开发过程中较为常用的一个服务。Web端常见的上传方法是用户在浏览器或App端上传文件到应用服务器,应用服务器再把文件上传到OSS。而在这里则是基于Post Policy(用户表单上传的策略)的使用规则在服务端完成签名,然后通过表单直传数据到OSS。由于服务端签名直传无需将AccessKey暴露在前端页面,相比JavaScript客户端签名直传具有更高的安全性。
阿里云OSS存储的应用
雨声学java
07-05 691
阿里云OSS存储服务
阿里云OSS文件上传
helloyuanye的博客
07-04 1万+
阿里云oss文件上传
前端Vue+axios实现阿里云oss文件上传(服务端签名直传)
qq_45472813的博客
12-28 8454
前端Vue+axios实现阿里云oss文件上传(服务端签名直传) 问题描述 项目需要上传图片至服务器,但因为上传带宽慢,所以需要使用阿里云对象存储OSS用于上传文件,然后将上传后的文件链接处理上传到自己项目的服务器 问题一 上传文件到服务器端规定请求头中的Content-type使用multipart/form-data形式,由于缺少经验自己并不清楚使用multipart/form-data要如何发送请求 问题二 服务器端签名直传,首先是后端会提供一个接口,前端请求该接口后会返回一些字段数据,在依据
阿里云对象存储【OSS服务端签名后前端vue分片直传
qq_39687472的博客
04-12 1669
本文主要介绍如何基于Post Policy的使用规则在服务端通过各种语言代码完成签名,然后通过表单直传数据到OSS。由于服务端签名直传无需将AccessKey暴露在前端页面,相比JavaScript客户端签名直传具有更高的安全性。
前端阿里云OSS直传
m0_64705796的博客
09-01 778
说明:前端实现web端移动端oss直连的上传和下载
阿里云OSS-服务端加签直传说明/示例(SpringBoot)
maohe的博客
05-10 2441
文章说明了如何使用加签直传的方式将文件上传到OSS中,并提供两种加签方式,提供SprigBoot和Vue3的示例代码。
一文让你彻底会用对象存储OSS的前端直传,不懂就再看一遍(bushi)
Senar的博客
11-20 9078
原由 在项目里有时候会碰到比如上传文件相关的,一般都是后端提供个接口,然后我们上传的时候后端再传到阿里OSS或者其他服务商的对象存储,然后把最终的url拿到存起来或者返回给前端,这种方式其实在上传图片的频率不高的业务场景中可能并无大碍,但是如果你的项目是相册类的,资源提供类的,总之就是有很频繁的上传文件的场景,可能服务器的带宽就有点扛不住了,那么有没有更好的解决方案呢? 服务端签名,客户端直传 其实像阿里、腾讯、七牛等云服务厂商都提供的有类似阿里的STS(Security Token Service)临时访
Vue3直连阿里云OSS文件上传教程
qq_39842184的博客
03-24 2620
本文将通过15分钟的教学,让你掌握在Vue3项目中实现以下核心功能:✅ 直传文件到阿里云OSS✅ 实时进度条显示✅ 自动生成带时间戳的文件名✅ 安全策略配置✅ 错误自动重试机制。
阿里云存储OSS服务端直传
Resst的博客
09-15 2156
一、开通“对象存储OSS”服务 为了解决海量数据存储与弹性扩容,项目中我们采用云存储的解决方案- 阿里云OSS。 1、开通“对象存储OSS”服务 二、控制台使用 1、创建Bucket 命名:srb-file 读写权限:公共读 2、上传默认头像 创建文件夹avatar,上传默认的用户头像 三、使用RAM子用户 1、进入子用户管理页面 2、添加用户 3、获取子用户key AccessKeyId, AccessKeySecret 4、设置用户权限 授权:AliyunOSSFullAccess 四、落
如何使用阿里云OSS进行前端直传以及分片上传
qq_60754128的博客
02-20 2119
在使用阿里云OSS进行前端直传时,首先我们需要去阿里云官网注册自己的存储桶,然后申请相关的accessKeyId和accessKeySecret,然后新建一个桶,为这个桶命名以及选择对应的地区。然后可以根据自己的业务,封装对应的组件,以下是根据我自己的项目,所封装的上传组件,所用的是React技术栈。
使用OSS阿里上传文件
qq_44910673的博客
03-03 786
阿里云对象存储服务(Alibaba Cloud Object Storage Service,简称OSS)是阿里云提供的一种高可靠、安全、低成本的云端存储服务。用户可以通过简单的 API 接口在任何时间、任何地点存储和访问各种类型的数据,如图片、视频、文档等。用户可以通过阿里云控制台、API接口或SDK等方式管理和使用OSS服务,实现数据的存储、备份、共享和分发等功能。3、点击bucket列表 (如果没有bucket 点击创建bucket)5、创建accessKey(切记!vue集成elmentUI。
阿里云 OSS 前端直传实战:表单上传 + Policy 模式详解
lfeishumomol的博客
08-24 1458
在现代 Web 应用中,用户上传图片、视频等文件已成为标配功能。如果所有文件都经过后端中转,不仅增加服务器带宽压力,还可能导致性能瓶颈。阿里云 OSS(Object Storage Service)提供了强大的对象存储能力,支持,真正做到“上传不走后端”。本文将带你深入实践使用实现前端直传,并对比STS Token模式,分析其优劣。同时,我们将展示如何通过 Nacos 动态配置管理 OSS 参数。
阿里云: web如何直传oss & 常见问题 & oss图片的常用处理
qq_38969618的博客
11-14 5364
阿里云web直传&oss图片显示处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

少湖说

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值