tongchenkeji
发表于:0次点击

OSS 无法通过 policy 授权 STS 带有特殊字符的资源[阿里云]

使用的policy如下

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:PutObject",
                "oss:ListParts",
                "oss:AbortMultipartUpload",
                "oss:GetObject",
                "oss:DeleteObject"
            ],
            "Resource": [
                "acs:oss:*:*:my-bucket/Test/user:123/*"
            ]
        }
    ]
}

向 my-bucket/Test/user:123/a.txt 上传时

ByteArrayInputStream in = new ByteArrayInputStream("Hello OSS".getBytes());
stsClient.putObject("my-bucket", "Test/user:123/test.txt", in);

被权限拒绝

com.aliyun.oss.OSSException: Access denied by authorizer's policy.

但如果去掉冒号,或者授权资源改为my-bucket/Test/* 就一切正常,就是单独为带特殊符号的路径授权时无效

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
阿里云# 对象存储1210
=====这是一个广告位,招租中,联系qq 78315851====
阿里云
宜搭报表怎样实现:自定义列计算某列每行占总数的百分比[阿里云]
阿里云
maxcompute查询外部表insert到内部表报错,两表字段一致[阿里云]
2 条回复 A 作者 M 管理员

  1. 这个问题是由于OSS的权限策略中,资源路径不能包含冒号(:)。你可以尝试将资源路径中的冒号替换为其他字符,例如下划线(_)或者短横线(-),然后再进行授权。

    修改后的policy如下:

    {    "Version": "1",    "Statement": [        {            "Effect": "Allow",            "Action": [                "oss:PutObject",                "oss:ListParts",                "oss:AbortMultipartUpload",                "oss:GetObject",                "oss:DeleteObject"            ],            "Resource": [                "acs:oss:*:*:my-bucket/Test/user_123/*"            ]        }    ]}

    然后,你可以使用以下代码上传文件:

    ByteArrayInputStream in = new ByteArrayInputStream("Hello OSS".getBytes());stsClient.putObject("my-bucket", "Test/user_123/test.txt", in);
    已喜欢 已反对

  2. 您遇到的问题可能与OSS的URL编码规则有关。当您的资源路径包含特殊字符(如冒号)时,这些字符需要进行URL编码才能正确地作为授权策略中的资源。

    要解决这个问题,您可以尝试以下方法:

    1. 使用URL编码

      • 在创建授权策略时,将特殊字符替换为其对应的URL编码。
      • 对于冒号(:),其对应的URL编码是 %3A
      • 将授权策略修改为如下形式: 
        {    "Version": "1",    "Statement": [        {            "Effect": "Allow",            "Action": [                "oss:PutObject",                "oss:ListParts",                "oss:AbortMultipartUpload",                "oss:GetObject",                "oss:DeleteObject"            ],            "Resource": [                "acs:oss:*:*:my-bucket/Test/user%3A123/*"            ]        }    ]}

    2. 使用通配符

      • 如果您希望避免对所有特殊字符进行编码,可以考虑使用通配符(*)来匹配任意字符。
      • 例如,您可以将授权策略中的资源部分改为 "acs:oss:*:*:my-bucket/Test/user*/*",这样就可以匹配到包含冒号的路径。

    3. 使用预签名URL上传文件

      • 如果您仍然无法通过STS客户端直接上传文件,还可以考虑使用预签名URL的方式来上传文件。
      • 首先,使用STS客户端生成一个预签名URL,然后使用该URL直接上传文件。
    已喜欢 已反对

  3. 楼主你好,看了你的问题,个人觉得是由于冒号是URL中的保留字符,需要经过URL编码才能正确传递,你可以使用Java中的URLEncoder类对资源进行URL编码,然后将编码后的资源名称作为授权资源。

    String encodedResource = URLEncoder.encode("my-bucket/Test/user:123/a.txt", "UTF-8");String resource = "acs:oss:*:*:" + encodedResource;policyObject.put("Resource", new String[] { resource });

    然后在上传时,需要将文件名使用encodeURI或encodeURIComponent进行编码,以便能够在URL中正确地传递冒号字符。

    String encodedFileName = encodeURIComponent("Test/user:123/a.txt");ByteArrayInputStream in = new ByteArrayInputStream("Hello OSS".getBytes());stsClient.putObject("my-bucket", encodedFileName, in);

    已喜欢 已反对