这是一个创建于 3053 天前的主题,其中的信息可能已经有所发展或是发生改变。
手机端直接直接朝阿里的 oss 上传视频, 上传需要 accesskey, 这个 key 肯定不能写到 app 里面. 目前的做法是手机端传之前向服务器请求加密的 accesskey, 请求到以后手机用公钥解密, accesskey 始终只存在于内存中.
但是还是感觉有点不安全, 有没有可能别人拿到本地公钥? 特别担心 android 版的. 求靠谱方案.
 | 1 notes 2017-06-01 15:17:41 +08:00 via Android 可以区分不同用户,限制每个用户的量吗? |
 | 2 freestyle 2017-06-01 15:18:07 +08:00 用阿里云的访问控制 RAM 功能, 后端写个获取临时(最长 3600s)访问权限的服务, https://help.aliyun.com/document_detail/32059.html?spm=5176.doc32058.6.704.JQXxHp |
 | 3 kraymond 2017-06-01 15:51:49 +08:00 via Android 阿里云 OSS Android SDK 文档里我记得是给了两个解决方案的。 |
 | 4 sunhr 2017-06-01 16:37:32 +08:00 目前的做法肯定是不行的,一旦被拿到 key 和 secret,对方可以直接删掉 OSS 里面所有内容 可以参考 SDK 的文档,使用 STS 鉴权 iOS: https://help.aliyun.com/document_detail/32059.html Android: https://help.aliyun.com/document_detail/32046.html |
 | 5 onikage OP 非常感谢楼上各位, 我们其实是有使用 ram 的生成临时令牌的, 我担心的是客户端能伪造上传权限.在令牌过期前恶意上传大量文件. |
 | 6 sodarfish 2017-06-01 17:13:35 +08:00 恶意上传可以根据令牌或者用户做限制的吧 |
 | 9 LeeSeoung 2017-06-02 09:32:08 +08:00 只要你的 key 是在安卓端解密的,一般都是可以调试出来的。。所以你的做法不安全。 |
| 11 LeeSeoung 2017-06-02 14:02:24 +08:00 自定义协议 https 不让走代理。 |
Select Language