时间戳

首页 > 解决方案 > 在前端存储 AWS 凭证

javascript - 在前端存储 AWS 凭证

问题描述

我试图从我的 JavaScript 前端应用程序中获取来自 S3 的图像对象。

根据文档,这些是所需的步骤:

import * as AWS from "aws-sdk";

AWS.config.update({accesKeyId, secretAccesKey, region});

let s3 = new AWS.S3();

然后,您可以像这样获取对象:

function listObjects(bucketName, folderName) {
  return new Promise((resolve) => {
    s3.listObjects({Bucket: bucketName, Prefix: folderName}).promise()
      .then((data) => {
        resolve(data.Contents);
      })
  });
}

一切似乎都正常工作,但让我担心的是我还需要在我的前端应用程序中保留 accessKeyId 和 secretAccessKey ,以便访问存储桶。

如何在不提供这些机密数据的情况下保护存储桶或访问对象?

标签: javascriptamazon-web-servicesamazon-s3

解决方案

你担心是对的。任何人都可以从您的应用程序中取出凭据。有几种方法:

  • 如果对象实际上并不敏感,那么如果凭证只能采取您希望允许所有人的操作,则不会丢失任何内容。就此而言,如果您正确设置存储桶的权限,您应该能够完全摆脱对凭据的需求。我认为这包括必要时的列表权限。

  • 如果对象敏感的,那么您已经为您的用户提供了某种身份验证系统。如果您使用 Oauth 帐户进行身份验证(google、amazon、facebook 等),那么您可以使用 AWS Cognito 生成与该用户关联的短期 AWS 凭证,这将允许您区分用户之间的权限......如果已经在使用 oauth,则非常光滑且非常适合。如果您不使用 oauth,请考虑是否应该使用。这比必须为您的用户提供您自己的身份验证凭据层要安全得多。 https://aws.amazon.com/cognito/

  • 如果您不想或不能使用 cognito,您仍然可以从后端承担 AWS 角色并生成临时凭证,这些凭证会在 15 分钟到 1 小时或更长时间内自动过期,然后将这些凭证传递给前端. 我将其称为“穷人的认知”,但我认为运行基础设施来提供服务实际上可能比认知成本更昂贵。

  • 或者,正如@Tomasz Swinder 所建议的那样,您可以简单地通过您的应用程序代理请求,将用户请求的资产解析为 s3 资源并将其拉入您的后端,然后为您的用户提供服务。在大多数情况下,这是一个较差的解决方案,因为您的服务器距离最终用户比 s3 的端点可能更远。而且,您必须运行基础设施来代理。但是,话虽如此,它有它的位置。

  • 最后,预签名的 s3 url 可能非常适合您的应用程序。通常,后端会在将 s3 url 提供给用户之前直接对其进行签名。签名足以​​授权操作(可以是 PUTGET),但它本身不包含用于签名的私钥 - 换句话说,预签名的 url 提供授权的 URL,但不提供用于授权的凭据,因此它们'是向 s3 提供临时授权的好方法。

总的来说,拥有一个无后端的应用程序真的很棒,为此你需要一个 3rd 方身份验证和类似 cognito 的东西。但是一旦开始使用它,您就可以使用各种 aws 服务来提供后端可以完成的工作。只是要小心权限,因为 aws 是随用随付的,通常没有能力限制对服务的调用,以确保残忍的互联网用户通过使用你的临时信用进行大量调用来努力提高你的 AWS 账单'我提供了他们。一个值得注意的例外是 API Gateway,它确实允许每个用户的速率限制,因此非常适合认知授权的无服务器后端。

还要记住,与获取 s3 对象相比,列出 s3 对象既慢得多,也贵得多(每个操作仍然便宜,但 10 倍),因此通常最好尽可能避免调用 lIST。我只是把它扔在那里,我怀疑你这样做只是为了测试 s3 连接。

推荐阅读