OSS在private权限下的无参数访问(Nginx反向代理实现)

本文主要介绍内容

oss默认权限策略是private,当修改到public-read或更高权限时会提示存在安全风险。如果需要访问oss资源需要在地址上添加签名内容,不利于地址的存储和使用。本文会介绍如何利用nginx反向代理实现private权限下无参数访问oss资源。

运行环境说明

本文实现环境是:
Centos7 系统 + nginx: 1.14.1

前期准备工作

  • nginx安装njs模块(使用yum安装,也可源码编译安装)

yum install nginx-module-njs

  • 创建脚本文件

本文是将脚本放置与nginx/njs/目录下,文件名为oss-sign.js,你也可以放置到任何你喜欢的地方,只要以下提到的配置目录正确即可。

文件内容详见 代码文件

  • 修改nginx相关配置文件

修改nginx/nginx.conf文件,修改内容如下,非修改内容省略

#--start-- 引入njs模块 
load_module modules/ngx_http_js_module.so;
#--end--
http {
#--start--
# 以上内容省略,这段代码需放置与include之前, http代码段之中
# js_include指令后接脚本文件路径
js_include njs/oss-sign.js;
# 定义签名字符串和GMT时间字符串
js_set $ossDate getGMTtime;
js_set $ossAuth ossSign;
#--end--

include /etc/nginx/conf.d/*.conf;
}
  • 虚拟服务主机方式

conf.d/目录下创建oss.conf文件,内容如下

server {
    server_name  oss.xxxxx.com; # oss域名,替换成你自己的域名
    server_name_in_redirect off; # 多域名防干扰,详细说明可自行查阅
location / {
# 反向代理oss地址,需替换成你的oss内网或外网地址
proxy_pass http://xxx.oss-cn-xxx-internal.aliyuncs.com;
# 设置反向代理时请求header, 也是本方案核心内容
# $ossDate, $ossAuth 变量名需和nginx.conf文件内变量名一致
proxy_set_header Date $ossDate;
proxy_set_header Authorization $ossAuth;
}

}
  • 其他方式

具体内容视情况而定,但主要是反向代理时添加的header字段,和上面类似

  • 重启nginx

service nginx restart

其他系统可视具体文档

结束

接下来就是见证奇迹的时刻!在浏览器里输入你的域名 + oss资源路径,然后按回车,如果不出意外,图片就能正常显示了。

脚本具体代码

oss-sign.js

/* 
  创建待签名字符串 
  此方法为简化版,仅处理不带url参数的oss资源地址,其他情况可结合oss文档 + ali-oss sdk 文件内signUtil模块内的buildCanonicalString方法做修改
*/
function buildCanonicalString (method, resourcePath, date) {
  var signContent = [method.toUpperCase(), '', '', date, resourcePath]
  return signContent.join('n')
}
/* 计算签名字符串 */
function computeSignature (accessKeySecret, canonicalString) {
  var signature = require('crypto').createHmac('sha1', accessKeySecret)
  return signature.update(canonicalString.toUTF8()).digest('base64')
}
/* 生成完整认证字符串 */
function authorization (accessKeyId, accessKeySecret, canonicalString) {
  return 'OSS ' + accessKeyId + ':' + computeSignature(accessKeySecret, canonicalString)
}
/* oss签名配置数据,换成你自己的PAM账号的AK和bucket */
var ossAccess = {
  accessKeyId: 'XXXXX',
  accessKeySecret: 'XXXX',
  bucket: 'XXX'
}
var GMTdate = ''
/* 返回oss header date字符串 */
function getGMTtime (r) {
  /* 函数运行在http环境,如果有多个server最好加上判断条件来避免不必要的消耗 */
  if (r.headersIn.host !== 'oss.xxxx.com') return ''
  /* nginx 环境下 toUTCString 函数和标准有差异, 此处做转换处理,后续njs版本升级后可能需要修改 */
  var dateWords = new Date().toUTCString().split(' ')
  dateWords[0] += ','
  dateWords[1] = [dateWords[2], dateWords[2] = dateWords[1]][0]
  GMTdate = dateWords.join(' ')
  return GMTdate
}
/* 返回oss header authorization字符串 */
function ossSign (r) {
  if (r.headersIn.host !== 'oss.xxxx.com') return ''
  var method = r.method
  var canonicalString = buildCanonicalString(method, '/' + ossAccess.bucket + r.uri, GMTdate)
  return authorization(ossAccess.accessKeyId, ossAccess.accessKeySecret, canonicalString)
}