問題タブ [pre-signed-url]

ラムダ関数を使用して、S3 にアップロードする署名付き URL を作成しています。

次に、その URL を使用して、httpie で PUT 呼び出しを試みます。

しかし、私は得る：

ラムダは完全な s3 アクセス実行ロールで実行されますが、ここではアクセス許可は問題になりません。

更新: content-type ヘッダーなしでファイルをアップロードしようとすると、正常に動作します:

問題はコンテンツタイプにあるようですが、指定していないので、jsonなどをアップロードしてもAWSは気にしないと思いました

最近aws-sdk (バージョン 2)にアップグレードする必要が生じるまで、私はmarcel/s3を使用してきました。

私たちが気付いた変更の 1 つは、例外が発生したため、有効期限が 1 週間を超える URL に署名できないようになったことです: ArgumentError: expires_in value of #{X} exceeds one-week maximum.

署名付き URL を作成できるONE_WEEK 定数をオーバーライドしてみました。問題は、取得した URL を curl すること400ですX-Amz-Expires must be less than a week (in seconds); that is, the given X-Amz-Expires must be less than 604800 seconds。

aws-sdk v2を使用して 1 週間以上 URL に署名するにはどうすればよいmarcel/s3ですか? aws-sdk v1これを達成するために代替手段に切り替えていますか?

各ライブラリによって生成される URL の違いは次のとおりです。

• marcel-s3:およびをクエリ パラメータとして使用しますAWSAccessKeyId。ExpiresSignature
• aws-sdk v2: 、、、、およびをクエリパラメータとして使用しますX-Amz-Algorithm。X-Amz-CredentialX-Amz-DateX-Amz-ExpiresX-Amz-SignedHeadersX-Amz-Signature

PUT を使用してイメージ/jpeg を s3 バケットにアップロードすると問題なく動作しますが、最初にその署名付きキーと T リクエストを使用して GET を実行しようとしたことを示すエラーが javascript によってスローされます。ブラウザでネットワークを確認すると、200 ステータス OK の OPTIONS メソッド呼び出しと、200 OK の署名付き URL を使用した PUT 呼び出しが表示され、GET 呼び出しはありません。それでもコンソールは GET エラーをスローします。

任意の洞察をいただければ幸いです。

IdentityServer Bearer Token Authentication / Access Token Validation で保護された Web API 2 OData v3 サービスがあります。クライアントは SPA アプリケーションです。oidc-token-manager.js ライブラリを使用して認証し、Authorization http ヘッダーのアクセス トークンを XMLHttpRequest を使用して通常の odata crud 操作に渡すことに成功しました。

私の odata サービスは、ファイルのアップロードとダウンロードのストリーミングもサポートしています。ここでも、ファイルをアップロードするために、XMLHttpRequest を使用して Authorization http ヘッダーでアクセス トークンを渡すことができます。

ただし、ファイルをダウンロードするには、href を含むアンカー タグを使用したいと考えています (odata ファイルのダウンロード URL は通常、/odata/myfiles(1)/$value の形式です)。ユーザーがリンクをクリックすると、ファイルがダウンロードされます (odata サービスは content-disposition 添付ヘッダーを応答に追加します)。

ただし、この GET 要求はブラウザーによって作成されるため、この GET 要求の Authorization ヘッダーにアクセス トークンを追加する方法はありません。代わりに、アクセス トークンをクエリ文字列として href の URL に追加することはできますか (いわゆる署名付き URL)。これは良い（安全な）アイデアですか？サーバーでは、Startup.cs で app.UseIdentityServerBearerTokenAuthentication を使用していますが、クエリ文字列と Authorization http ヘッダーでアクセス トークンを検索できますか?

どうもありがとう

レムコ

署名付き URL を使用してビデオ ファイルをクラウド ストレージにアップロードしようとしています。アップロードには HTTP put メソッドを使用します。「HttpsUrl`接続」を使用して接続しようとすると、javax.net.ssl.SSLHandshakeException: Handshake failedのようなエラーが返されます。この問題を解決するにはどうすればよいですか? これが私のコードです：

スタックトレースはこんな感じ

AWS S3 で署名付き URL を使用したいと考えています。私が気付いたのは、署名付き URL にaws_access_key_idと が含まれていることaws_security_tokenです。

私の理解でaws_security_tokenは、一時的なセキュリティ認証情報を使用しており、URL に適切に署名するために必要であるため、 は URL の一部です。

しかし、たとえばフロントエンド クライアントが画像をダウンロードするために URL を指定しても問題ないでしょうか。aws_security_tokenは URL の一部です (暗号化されていません) 。セキュリティが心配で、トークンの目的を理解できませんでした。そして、攻撃者が myaws_access_key_idと theでできることaws_security_token。