从 Meteor 移动应用程序向 S3 进行身份验证

Authenticating to S3 from Meteor Mobile Application

我有一个 Meteor Mobile 应用程序可以访问存储在我的 S3 存储桶中的大量照片。这些照片是用户上传的并且经常更改。我不希望任何未使用我的应用程序的人都可以访问这些照片。 (即:这些照片只能从我的应用程序中查看,直接在浏览器中转到 url 不会加载它们)。

完成此任务的最佳方法是什么? AWS Cognito 似乎是合乎逻辑的选择,但实施起来似乎并不容易,而且我不确定一旦获得 Cognito 身份,如何从客户端向 AWS 进行身份验证。

我的另一个想法是在每个 url 上放置一个只读的 AWS 密钥并以这种方式进行身份验证,但这几乎毫无意义。找出密钥和秘密真的很容易。

编辑:

具体来说,图像的 URL 在 Mongo collection 中,我将它们传递到模板中。因此,S3 资源只是加载了一个图像标签 (<img src=")。 AWS STS 之类的东西听起来是个不错的选择,但我不知道在我像这样加载令牌时在 header 中传递令牌的方法。将它们作为 pre-signed 查询字符串来处理似乎效率低下。

另一种选择是使用 referrer header、like this issue 来限制访问。但正如 Martijn 所说,这并不是一种真正安全的方式。

经过一些研究和测试,我自己解决了这个问题。我的最终解决方案是使用 referer header 来限制对我的 S3 存储桶的访问。我创建了一个更安全、更详细的解决方案(见下文),但它带来了对我的应用程序不起作用的性能影响。我的应用程序基于查看照片和视频,并且无法立即加载它们是不可能的。虽然,我觉得对于大多数 use-cases 来说,这可能是一个足够的解决方案。因为我的应用不是高度敏感的,所以 referer header 对我来说就足够了。 Here is how to use the http header referer to limit access to a bucket.

使用亚马逊STS的解决方案:

首先,您需要在 server and the client. 上安装 AWS SDK 没有适用于 Meteor 的最新软件包,所以我创建了自己的软件包。 (我会很快发布它,一旦发布就在这里放一个 link。)

在服务器上,您必须使用能够承担角色的凭据。要承担的角色必须与承担该角色的用户具有信任关系。 Article on using IAM. - Article on using credentials with SDK

server.js 文件中,我创建了一个可以从客户端调用的 Meteor 方法。它首先检查用户是否已登录。如果是,它会检查当前 temp-credentials 是否在接下来的 5 分钟内过期。如果是,我会发出新的凭据并将它们写入用户文档或 return 它们作为回调。如果他们在接下来的 5 分钟内没有过期,我 return 他们当前的 temp-credentials.

回调必须使用Meteor.bindEnvironmentSee docs

Meteor.methods({
'awsKey': function(){
  if (Meteor.userId()){
    var user = Meteor.userId();
    var now = moment(new Date());
    var userDoc = Meteor.users.findOne({_id: user});
    var expire = moment(userDoc.aws.expiration);
    var fiveMinutes = 5 * 60 * 1000;
    var fut = new Future();

    if(moment.duration(expire.diff(now))._milliseconds < fiveMinutes ){
        var params = {
            RoleArn: 'arn:aws:iam::556754141176:role/RoleToAssume',
            RoleSessionName: 'SessionName',
            DurationSeconds: 3600  //1 Hour
        };
        var sts = new AWS.STS();
        sts.assumeRole(params, Meteor.bindEnvironment((err, data) => {
            if (err){
                fut.throw(new Error(err));
            }else{
                Meteor.users.update({_id: user}, {$set: {aws: {accessKey: data.Credentials.AccessKeyId, secretKey: data.Credentials.SecretAccessKey, sessionToken: data.Credentials.SessionToken, expiration: data.Credentials.Expiration}}});
                fut.return(data.Credentials);
            }
          }));
          return fut.wait();
       }else{
         return userDoc.aws;
       }
      }
     }
    }
  });

然后您可以手动或在 Meteor.startup 上的 setInterval 中调用此方法。

  Meteor.setInterval(function(){
   if(Meteor.userId()){
      Meteor.call('awsKey', function(err, data){
        if (err){
          console.log(err);
        }else{
          if(data.accessKey){
            Session.set('accessKey', data.accessKey);
            Session.set('secretKey', data.secretKey);
            Session.set('sessionToken', data.sessionToken);
          }else{
            Session.set('accessKey', data.AccessKeyId);
            Session.set('secretKey', data.SecretAccessKey);
            Session.set('sessionToken', data.SessionToken);
          }
        }
      });
    }
  }, 300000); //5 Minute interval

这种方式只是通过回调在 Session 变量中设置键。您也可以通过查询用户的文档来获取它们来做到这一点。

然后,您可以使用这些临时凭据为您尝试在存储桶中访问的 object 获取签名 URL。

我通过在模板中将 object 名称传递给它,将其放入模板助手中:

{{getAwsUrl imageName}}

Template.templateName.helpers({

     'getAwsUrl': function(filename){
         var accessKey = Session.get('accessKey');
         var secretKey = Session.get('secretKey');
         var sessionToken = Session.get('sessionToken');
         var filename = filename;
         var params = {Bucket: 'bucketName', Key: filename, Expires: 6000};
         new AWS.S3({accessKeyId: accessKey, secretAccessKey: secretKey, sessionToken: sessionToken, region: 'us-west-2'}).getSignedUrl('getObject', params, function (err, url) {
      if (err) {
         console.log("Error:" +err);
      }else{
         result = url;
      }
    });
     return result;
 }

});

仅此而已!我确信这可以改进得更好,但这正是我在快速测试时想到的。就像我说的,它应该适用于大多数用例。我的那个没有。出于某种原因,当您尝试在这些已签名 URL 的 img src 上切换 visibility: visible|hidden; 时,它们的加载时间要比直接设置 URL 长得多。一定是因为亚马逊必须在 return object.

之前在他们这边解密已签名的 URL

感谢 Mikkel 的指导。