在Microsoft文档中,建议专业人员使用用户委派共享访问签名,而不是基于密钥的共享访问签名。具体来说,为什么会这样?
在本文档中,指定:
Microsoft建议尽可能使用 Azure AD 凭据 作为安全最佳做法,而不是使用帐户密钥, 可能更容易受到损害。当您的应用程序设计需要时 用于访问 Blob 存储的共享访问签名,请使用 Azure AD 用于创建用户委派 SAS 的凭据(如果可能(用于上级 安全。
此 Azure 官方文档解释了为什么建议使用用户委派共享访问签名。
当客户端使用用户委托 SAS 访问 Blob 服务资源时,将使用用于创建 SAS 的 Azure AD 凭据授权对 Azure 存储的请求。为该 Azure AD 帐户授予的基于角色的访问控制 (RBAC( 权限以及 SAS 上显式授予的权限决定了客户端对资源的访问权限。此方法提供了额外的安全级别,并且无需将帐户访问密钥与应用程序代码一起存储。出于这些原因,使用 Azure AD 凭据创建 SAS 是一种安全最佳做法。