我有一个移动应用程序,可以对服务器上的用户进行身份验证。我想将经过身份验证的用户的图像存储在 Google Cloud Storage 存储桶中,但我想避免通过我的服务器将图像上传到 google 存储桶,它们应该直接从存储桶上传(或下载(。 (我也不想向用户显示另一个 Google 登录名以授予对其存储桶的访问权限(
因此,我最好的情况是,当用户向我的服务器进行身份验证时,我的服务器还会生成具有读写访问权限的特定 Google 存储桶的短期访问令牌。
我知道服务帐户可以生成 accessTokens,但我找不到任何文档,如果将这些访问令牌从服务器传递到客户端应用程序是一种好的做法,并且是否可以将访问令牌的范围限制为特定存储桶。
我发现授权文档非常令人困惑,并在这里询问为我的案例实现对云存储的访问的最佳实践方法是什么?
我认为您正在寻找签名网址。
签名 URL 是提供有限权限和时间的 URL 提出请求。签名 URL 包含身份验证信息 他们的查询字符串,允许没有凭据的用户执行 对资源执行特定操作。
在这里,您可以在 GCP 中看到有关它们的更多信息。在这里,您可以解释如何针对您的程序调整它们。