从 Meteor 移动应用程序向 S3 进行身份验证
Authenticating to S3 from Meteor Mobile Application
我有一个 Meteor Mobile 应用程序可以访问存储在我的 S3 存储桶中的大量照片。这些照片是用户上传的并且经常更改。我不希望任何未使用我的应用程序的人都可以访问这些照片。 (即:这些照片只能从我的应用程序中查看,直接在浏览器中转到 url 不会加载它们)。
完成此任务的最佳方法是什么? AWS Cognito 似乎是合乎逻辑的选择,但实施起来似乎并不容易,而且我不确定一旦获得 Cognito 身份,如何从客户端向 AWS 进行身份验证。
我的另一个想法是在每个 url 上放置一个只读的 AWS 密钥并以这种方式进行身份验证,但这几乎毫无意义。找出密钥和秘密真的很容易。
编辑:
具体来说,图像的 URL 在 Mongo collection 中,我将它们传递到模板中。因此,S3 资源只是加载了一个图像标签 (<img src=")。 AWS STS 之类的东西听起来是个不错的选择,但我不知道在我像这样加载令牌时在 header 中传递令牌的方法。将它们作为 pre-signed 查询字符串来处理似乎效率低下。
另一种选择是使用 referrer header、like this issue 来限制访问。但正如 Martijn 所说,这并不是一种真正安全的方式。
经过一些研究和测试,我自己解决了这个问题。我的最终解决方案是使用 referer header 来限制对我的 S3 存储桶的访问。我创建了一个更安全、更详细的解决方案(见下文),但它带来了对我的应用程序不起作用的性能影响。我的应用程序基于查看照片和视频,并且无法立即加载它们是不可能的。虽然,我觉得对于大多数 use-cases 来说,这可能是一个足够的解决方案。因为我的应用不是高度敏感的,所以 referer header 对我来说就足够了。 Here is how to use the http header referer to limit access to a bucket.
使用亚马逊STS的解决方案:
首先,您需要在 server and the client. 上安装 AWS SDK 没有适用于 Meteor 的最新软件包,所以我创建了自己的软件包。 (我会很快发布它,一旦发布就在这里放一个 link。)
在服务器上,您必须使用能够承担角色的凭据。要承担的角色必须与承担该角色的用户具有信任关系。 Article on using IAM. - Article on using credentials with SDK
在 server.js 文件中,我创建了一个可以从客户端调用的 Meteor 方法。它首先检查用户是否已登录。如果是,它会检查当前 temp-credentials 是否在接下来的 5 分钟内过期。如果是,我会发出新的凭据并将它们写入用户文档或 return 它们作为回调。如果他们在接下来的 5 分钟内没有过期,我 return 他们当前的 temp-credentials.
回调必须使用Meteor.bindEnvironmentSee docs
Meteor.methods({
'awsKey': function(){
if (Meteor.userId()){
var user = Meteor.userId();
var now = moment(new Date());
var userDoc = Meteor.users.findOne({_id: user});
var expire = moment(userDoc.aws.expiration);
var fiveMinutes = 5 * 60 * 1000;
var fut = new Future();
if(moment.duration(expire.diff(now))._milliseconds < fiveMinutes ){
var params = {
RoleArn: 'arn:aws:iam::556754141176:role/RoleToAssume',
RoleSessionName: 'SessionName',
DurationSeconds: 3600 //1 Hour
};
var sts = new AWS.STS();
sts.assumeRole(params, Meteor.bindEnvironment((err, data) => {
if (err){
fut.throw(new Error(err));
}else{
Meteor.users.update({_id: user}, {$set: {aws: {accessKey: data.Credentials.AccessKeyId, secretKey: data.Credentials.SecretAccessKey, sessionToken: data.Credentials.SessionToken, expiration: data.Credentials.Expiration}}});
fut.return(data.Credentials);
}
}));
return fut.wait();
}else{
return userDoc.aws;
}
}
}
}
});
然后您可以手动或在 Meteor.startup 上的 setInterval 中调用此方法。
Meteor.setInterval(function(){
if(Meteor.userId()){
Meteor.call('awsKey', function(err, data){
if (err){
console.log(err);
}else{
if(data.accessKey){
Session.set('accessKey', data.accessKey);
Session.set('secretKey', data.secretKey);
Session.set('sessionToken', data.sessionToken);
}else{
Session.set('accessKey', data.AccessKeyId);
Session.set('secretKey', data.SecretAccessKey);
Session.set('sessionToken', data.SessionToken);
}
}
});
}
}, 300000); //5 Minute interval
这种方式只是通过回调在 Session 变量中设置键。您也可以通过查询用户的文档来获取它们来做到这一点。
然后,您可以使用这些临时凭据为您尝试在存储桶中访问的 object 获取签名 URL。
我通过在模板中将 object 名称传递给它,将其放入模板助手中:
{{getAwsUrl imageName}}
Template.templateName.helpers({
'getAwsUrl': function(filename){
var accessKey = Session.get('accessKey');
var secretKey = Session.get('secretKey');
var sessionToken = Session.get('sessionToken');
var filename = filename;
var params = {Bucket: 'bucketName', Key: filename, Expires: 6000};
new AWS.S3({accessKeyId: accessKey, secretAccessKey: secretKey, sessionToken: sessionToken, region: 'us-west-2'}).getSignedUrl('getObject', params, function (err, url) {
if (err) {
console.log("Error:" +err);
}else{
result = url;
}
});
return result;
}
});
仅此而已!我确信这可以改进得更好,但这正是我在快速测试时想到的。就像我说的,它应该适用于大多数用例。我的那个没有。出于某种原因,当您尝试在这些已签名 URL 的 img src 上切换 visibility: visible|hidden; 时,它们的加载时间要比直接设置 URL 长得多。一定是因为亚马逊必须在 return object.
之前在他们这边解密已签名的 URL
感谢 Mikkel 的指导。
我有一个 Meteor Mobile 应用程序可以访问存储在我的 S3 存储桶中的大量照片。这些照片是用户上传的并且经常更改。我不希望任何未使用我的应用程序的人都可以访问这些照片。 (即:这些照片只能从我的应用程序中查看,直接在浏览器中转到 url 不会加载它们)。
完成此任务的最佳方法是什么? AWS Cognito 似乎是合乎逻辑的选择,但实施起来似乎并不容易,而且我不确定一旦获得 Cognito 身份,如何从客户端向 AWS 进行身份验证。
我的另一个想法是在每个 url 上放置一个只读的 AWS 密钥并以这种方式进行身份验证,但这几乎毫无意义。找出密钥和秘密真的很容易。
编辑:
具体来说,图像的 URL 在 Mongo collection 中,我将它们传递到模板中。因此,S3 资源只是加载了一个图像标签 (<img src=")。 AWS STS 之类的东西听起来是个不错的选择,但我不知道在我像这样加载令牌时在 header 中传递令牌的方法。将它们作为 pre-signed 查询字符串来处理似乎效率低下。
另一种选择是使用 referrer header、like this issue 来限制访问。但正如 Martijn 所说,这并不是一种真正安全的方式。
经过一些研究和测试,我自己解决了这个问题。我的最终解决方案是使用 referer header 来限制对我的 S3 存储桶的访问。我创建了一个更安全、更详细的解决方案(见下文),但它带来了对我的应用程序不起作用的性能影响。我的应用程序基于查看照片和视频,并且无法立即加载它们是不可能的。虽然,我觉得对于大多数 use-cases 来说,这可能是一个足够的解决方案。因为我的应用不是高度敏感的,所以 referer header 对我来说就足够了。 Here is how to use the http header referer to limit access to a bucket.
使用亚马逊STS的解决方案:
首先,您需要在 server and the client. 上安装 AWS SDK 没有适用于 Meteor 的最新软件包,所以我创建了自己的软件包。 (我会很快发布它,一旦发布就在这里放一个 link。)
在服务器上,您必须使用能够承担角色的凭据。要承担的角色必须与承担该角色的用户具有信任关系。 Article on using IAM. - Article on using credentials with SDK
在 server.js 文件中,我创建了一个可以从客户端调用的 Meteor 方法。它首先检查用户是否已登录。如果是,它会检查当前 temp-credentials 是否在接下来的 5 分钟内过期。如果是,我会发出新的凭据并将它们写入用户文档或 return 它们作为回调。如果他们在接下来的 5 分钟内没有过期,我 return 他们当前的 temp-credentials.
回调必须使用Meteor.bindEnvironmentSee docs
Meteor.methods({
'awsKey': function(){
if (Meteor.userId()){
var user = Meteor.userId();
var now = moment(new Date());
var userDoc = Meteor.users.findOne({_id: user});
var expire = moment(userDoc.aws.expiration);
var fiveMinutes = 5 * 60 * 1000;
var fut = new Future();
if(moment.duration(expire.diff(now))._milliseconds < fiveMinutes ){
var params = {
RoleArn: 'arn:aws:iam::556754141176:role/RoleToAssume',
RoleSessionName: 'SessionName',
DurationSeconds: 3600 //1 Hour
};
var sts = new AWS.STS();
sts.assumeRole(params, Meteor.bindEnvironment((err, data) => {
if (err){
fut.throw(new Error(err));
}else{
Meteor.users.update({_id: user}, {$set: {aws: {accessKey: data.Credentials.AccessKeyId, secretKey: data.Credentials.SecretAccessKey, sessionToken: data.Credentials.SessionToken, expiration: data.Credentials.Expiration}}});
fut.return(data.Credentials);
}
}));
return fut.wait();
}else{
return userDoc.aws;
}
}
}
}
});
然后您可以手动或在 Meteor.startup 上的 setInterval 中调用此方法。
Meteor.setInterval(function(){
if(Meteor.userId()){
Meteor.call('awsKey', function(err, data){
if (err){
console.log(err);
}else{
if(data.accessKey){
Session.set('accessKey', data.accessKey);
Session.set('secretKey', data.secretKey);
Session.set('sessionToken', data.sessionToken);
}else{
Session.set('accessKey', data.AccessKeyId);
Session.set('secretKey', data.SecretAccessKey);
Session.set('sessionToken', data.SessionToken);
}
}
});
}
}, 300000); //5 Minute interval
这种方式只是通过回调在 Session 变量中设置键。您也可以通过查询用户的文档来获取它们来做到这一点。
然后,您可以使用这些临时凭据为您尝试在存储桶中访问的 object 获取签名 URL。
我通过在模板中将 object 名称传递给它,将其放入模板助手中:
{{getAwsUrl imageName}}
Template.templateName.helpers({
'getAwsUrl': function(filename){
var accessKey = Session.get('accessKey');
var secretKey = Session.get('secretKey');
var sessionToken = Session.get('sessionToken');
var filename = filename;
var params = {Bucket: 'bucketName', Key: filename, Expires: 6000};
new AWS.S3({accessKeyId: accessKey, secretAccessKey: secretKey, sessionToken: sessionToken, region: 'us-west-2'}).getSignedUrl('getObject', params, function (err, url) {
if (err) {
console.log("Error:" +err);
}else{
result = url;
}
});
return result;
}
});
仅此而已!我确信这可以改进得更好,但这正是我在快速测试时想到的。就像我说的,它应该适用于大多数用例。我的那个没有。出于某种原因,当您尝试在这些已签名 URL 的 img src 上切换 visibility: visible|hidden; 时,它们的加载时间要比直接设置 URL 长得多。一定是因为亚马逊必须在 return object.
感谢 Mikkel 的指导。