手机端直接直接朝阿里的 oss 上传视频, 上传需要 accesskey, 这个 key 肯定不能写到 app 里面. 目前的做法是手机端传之前向服务器请求加密的 accesskey, 请求到以后手机用公钥解密, accesskey 始终只存在于内存中.
但是还是感觉有点不安全, 有没有可能别人拿到本地公钥? 特别担心 android 版的. 求靠谱方案.
1
notes 2017-06-01 15:17:41 +08:00 via Android
可以区分不同用户,限制每个用户的量吗?
|
2
freestyle 2017-06-01 15:18:07 +08:00
用阿里云的访问控制 RAM 功能, 后端写个获取临时(最长 3600s)访问权限的服务, https://help.aliyun.com/document_detail/32059.html?spm=5176.doc32058.6.704.JQXxHp
|
3
kraymond 2017-06-01 15:51:49 +08:00 via Android
阿里云 OSS Android SDK 文档里我记得是给了两个解决方案的。
|
4
sunhr 2017-06-01 16:37:32 +08:00
目前的做法肯定是不行的,一旦被拿到 key 和 secret,对方可以直接删掉 OSS 里面所有内容
可以参考 SDK 的文档,使用 STS 鉴权 iOS: https://help.aliyun.com/document_detail/32059.html Android: https://help.aliyun.com/document_detail/32046.html |
5
onikage OP 非常感谢楼上各位, 我们其实是有使用 ram 的生成临时令牌的,
我担心的是客户端能伪造上传权限.在令牌过期前恶意上传大量文件. |
6
sodarfish 2017-06-01 17:13:35 +08:00
恶意上传可以根据令牌或者用户做限制的吧
|
9
LeeSeoung 2017-06-02 09:32:08 +08:00
只要你的 key 是在安卓端解密的,一般都是可以调试出来的。。所以你的做法不安全。
|
11
LeeSeoung 2017-06-02 14:02:24 +08:00
自定义协议 https 不让走代理。
|