使用 AWS JavaScript SDK v2.2.29 的客户端版本(例如 Bower aws-sdk-js),这是可能的(尽管显然是不可接受的,因为它向客户端公开了真正的 AWS 凭证):
var region = 'us-east-1',
accessKeyId = 'AZ12341234',
secretAccessKey = 'aBCde1FGhij2KLMnOPqr3TUvwx4YZ';
var creds = new AWS.Credentials(accessKeyId, secretAccessKey);
creds.get(function() {
s3Location = new AWS.S3({
region: my.region,
credentials: creds
});
ready(); // which presents the upload form, binds events, etc..
});
梦想是将该过程分为两部分,一个是安全的服务器端,另一个是客户端。
第 1 部分。使用 AWS JavaScript 开发工具包的 Nodejs 服务器端版本(例如 aws-sdk)执行此操作:
var creds = new AWS.TemporaryCredentials(accessKeyId, secretAccessKey);
creds.get(function() {
var aws = {
accessKeyId: creds.accessKeyId,
sessionToken: creds.sessionToken,
region: my.region,
};
// e.g. makes aws var available to client
res.render('form', {
aws: aws
});
}
第 2 部分。使用 AWS JavaScript 开发工具包的客户端版本(例如 Bower aws-sdk-js)执行以下操作:
// e.g. aws = <from-server-side>
var creds = new AWS.Credentials(aws.accessKeyId, null, aws.sessionToken);
creds.get(function() {
s3Location = new AWS.S3({
credentials: creds,
region: aws.region
});
ready();
});
上面的代码似乎有效,直到实际的分块上传开始,导致 403:
<Code>SignatureDoesNotMatch</Code>
<Message>
The request signature we calculated does not match the
signature you provided. Check your key and signing method.
</Message>
似乎 S3 开发工具包可能会受到限制,即使这样的交易在理论上是可能的,也不可能进行分段上传。
这应该可能吗?有什么想法吗?
对于您的特定问题,您应该查看这些凭据的角色/策略,并确保允许分段上传。
另一种解决方案是客户端请求服务器返回签名 URL,该 URL 允许客户端将文件直接获取/发布到 S3(不使用 AWS API,而是直接使用 HTTP)。
我使用FineUploader来做到这一点(用于上传),他们有一堆示例应该给你一个想法(即使你不想使用FineUploader)如何做到这一点:
http://docs.fineuploader.com/branch/master/endpoint_handlers/amazon-s3.html
赫鲁古也有一个例子:https://devcenter.heroku.com/articles/s3-upload-node
但是您正在做的事情(或使用 Cognito 做类似的事情)应该有效。因此,问题必须与要创建的临时凭证关联的角色/策略相关。