Home Explore Help
Sign In
hlm
/
hlm_pl_mall_store
9
0
Fork 0
Files Issues 0 Pull Requests 0 Wiki
Tree: ef85d5634b
Branches Tags
hlm_pl_mall_...
/
node_modules
/
cos-js-sdk-v5
/
server
/
sts.js

sts.js 6.8 KB
History Raw

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180 
  1. // 临时密钥服务例子
    2. 

  2. var bodyParser = require('body-parser');
    3. 

  3. var STS = require('qcloud-cos-sts');
    4. 

  4. var express = require('express');
    5. 

  5. var crypto = require('crypto');
    6. 

  6. var pathLib = require('path');
    7. 

  7. var fs = require('fs');
    8. 

  8. 

  9. // 配置参数
    10. 

  10. var config = {
    11. 

  11.     secretId: process.env.SecretId,
    12. 

  12.     secretKey: process.env.SecretKey,
    13. 

  13.     proxy: process.env.Proxy,
    14. 

  14.     durationSeconds: 1800,
    15. 

  15.     bucket: process.env.Bucket,
    16. 

  16.     region: process.env.Region,
    17. 

  17.     // 允许操作(上传)的对象前缀,可以根据自己网站的用户登录态判断允许上传的目录,例子: user1/* 或者 * 或者a.jpg
    18. 

  18.     // 请注意当使用 * 时,可能存在安全风险,详情请参阅:https://cloud.tencent.com/document/product/436/40265
    19. 

  19.     allowPrefix: '_ALLOW_DIR_/*',
    20. 

  20.     // 密钥的权限列表
    21. 

  21.     allowActions: [
    22. 

  22.         // 所有 action 请看文档 https://cloud.tencent.com/document/product/436/31923
    23. 

  23.         // 简单上传
    24. 

  24.         'name/cos:PutObject',
    25. 

  25.         'name/cos:PostObject',
    26. 

  26.         // 分片上传
    27. 

  27.         'name/cos:InitiateMultipartUpload',
    28. 

  28.         'name/cos:ListMultipartUploads',
    29. 

  29.         'name/cos:ListParts',
    30. 

  30.         'name/cos:UploadPart',
    31. 

  31.         'name/cos:CompleteMultipartUpload'
    32. 

  32.     ],
    33. 

  33. };
    34. 

  34. 

  35. // 创建临时密钥服务和用于调试的静态服务
    36. 

  36. var app = express();
    37. 

  37. 

  38. var replaceBucketRegion = (filePath) => {
    39. 

  39.     return (req, res, next) => {
    40. 

  40.         var content = fs.readFileSync(filePath).toString()
    41. 

  41.             .replace(/(var config = {\r?\n *Bucket: ')test-1250000000(',\r?\n *Region: ')ap-guangzhou(',?\r?\n};?)/,
    42. 

  42.             '$1' + config.bucket + '$2' + config.region +'$3');
    43. 

  43.         res.header('Content-Type', 'application/javascript');
    44. 

  44.         res.send(content);
    45. 

  45.     };
    46. 

  46. };
    47. 

  47. app.use('/demo/demo.js', replaceBucketRegion(pathLib.resolve(__dirname, '../demo/demo.js')));
    48. 

  48. app.use('/test/test.js', replaceBucketRegion(pathLib.resolve(__dirname, '../test/test.js')));
    49. 

  49. app.use('/dist/', express.static(pathLib.resolve(__dirname, '../dist')));
    50. 

  50. app.use('/demo/', express.static(pathLib.resolve(__dirname, '../demo')));
    51. 

  51. app.use('/test/', express.static(pathLib.resolve(__dirname, '../test')));
    52. 

  52. app.all('/', (req, res, next) => res.redirect('/demo/'));
    53. 

  53. app.use(bodyParser.json());
    54. 

  54. 

  55. // 格式一:临时密钥接口
    56. 

  56. app.all('/sts', function (req, res, next) {
    57. 

  57. 

  58.     // TODO 这里根据自己业务需要做好放行判断
    59. 

  59.     if (config.allowPrefix === '_ALLOW_DIR_/*') {
    60. 

  60.         res.send({error: '请修改 allowPrefix 配置项,指定允许上传的路径前缀'});
    61. 

  61.         return;
    62. 

  62.     }
    63. 

  63. 

  64.     // 获取临时密钥
    65. 

  65.     var LongBucketName = config.bucket;
    66. 

  66.     var ShortBucketName = LongBucketName.substr(0, LongBucketName.lastIndexOf('-'));
    67. 

  67.     var AppId = LongBucketName.substr(LongBucketName.lastIndexOf('-') + 1);
    68. 

  68.     var policy = {
    69. 

  69.         'version': '2.0',
    70. 

  70.         'statement': [{
    71. 

  71.             'action': config.allowActions,
    72. 

  72.             'effect': 'allow',
    73. 

  73.             'resource': [
    74. 

  74.                 'qcs::cos:' + config.region + ':uid/' + AppId + ':prefix//' + AppId + '/' + ShortBucketName + '/' + config.allowPrefix,
    75. 

  75.             ],
    76. 

  76.         }],
    77. 

  77.     };
    78. 

  78.     var startTime = Math.round(Date.now() / 1000);
    79. 

  79.     STS.getCredential({
    80. 

  80.         secretId: config.secretId,
    81. 

  81.         secretKey: config.secretKey,
    82. 

  82.         proxy: config.proxy,
    83. 

  83.         region: config.region,
    84. 

  84.         durationSeconds: config.durationSeconds,
    85. 

  85.         policy: policy,
    86. 

  86.     }, function (err, tempKeys) {
    87. 

  87.         if (tempKeys) tempKeys.startTime = startTime;
    88. 

  88.         res.send(err || tempKeys);
    89. 

  89.     });
    90. 

  90. });
    91. 

  91. 

  92. // // 格式二:临时密钥接口,支持细粒度权限控制
    93. 

  93. // // 判断是否允许获取密钥
    94. 

  94. // var allowScope = function (scope) {
    95. 

  95. //     var allow = (scope || []).every(function (item) {
    96. 

  96. //         return config.allowActions.includes(item.action) &&
    97. 

  97. //             item.bucket === config.bucket &&
    98. 

  98. //             item.region === config.region &&
    99. 

  99. //             (item.prefix || '').startsWith(config.allowPrefix);
    100. 

  100. //     });
    101. 

  101. //     return allow;
    102. 

  102. // };
    103. 

  103. // app.all('/sts-scope', function (req, res, next) {
    104. 

  104. //     var scope = req.body;
    105. 

  105. //
    106. 

  106. //     // TODO 这里根据自己业务需要做好放行判断
    107. 

  107. //     if (config.allowPrefix === '_ALLOW_DIR_/*') {
    108. 

  108. //         res.send({error: '请修改 allowPrefix 配置项,指定允许上传的路径前缀'});
    109. 

  109. //         return;
    110. 

  110. //     }
    111. 

  111. //     // TODO 这里可以判断 scope 细粒度控制权限
    112. 

  112. //     if (!scope || !scope.length || !allowScope(scope)) return res.send({error: 'deny'});
    113. 

  113. //
    114. 

  114. //     // 获取临时密钥
    115. 

  115. //     var policy = STS.getPolicy(scope);
    116. 

  116. //     var startTime = Math.round(Date.now() / 1000);
    117. 

  117. //     STS.getCredential({
    118. 

  118. //         secretId: config.secretId,
    119. 

  119. //         secretKey: config.secretKey,
    120. 

  120. //         proxy: config.proxy,
    121. 

  121. //         durationSeconds: config.durationSeconds,
    122. 

  122. //         policy: policy,
    123. 

  123. //     }, function (err, tempKeys) {
    124. 

  124. //         if (tempKeys) tempKeys.startTime = startTime;
    125. 

  125. //         res.send(err || tempKeys);
    126. 

  126. //     });
    127. 

  127. // });
    128. 

  128. //
    129. 

  129. // // 用于 PostObject 签名保护
    130. 

  130. // app.all('/post-policy', function (req, res, next) {
    131. 

  131. //     var query = req.query;
    132. 

  132. //     var now = Math.round(Date.now() / 1000);
    133. 

  133. //     var exp = now + 900;
    134. 

  134. //     var qKeyTime = now + ';' + exp;
    135. 

  135. //     var qSignAlgorithm = 'sha1';
    136. 

  136. //     var policy = JSON.stringify({
    137. 

  137. //         'expiration': new Date(exp * 1000).toISOString(),
    138. 

  138. //         'conditions': [
    139. 

  139. //             // {'acl': query.ACL},
    140. 

  140. //             // ['starts-with', '$Content-Type', 'image/'],
    141. 

  141. //             // ['starts-with', '$success_action_redirect', redirectUrl],
    142. 

  142. //             // ['eq', '$x-cos-server-side-encryption', 'AES256'],
    143. 

  143. //             {'q-sign-algorithm': qSignAlgorithm},
    144. 

  144. //             {'q-ak': config.secretId},
    145. 

  145. //             {'q-sign-time': qKeyTime},
    146. 

  146. //             {'bucket': config.bucket},
    147. 

  147. //             {'key': query.key},
    148. 

  148. //         ]
    149. 

  149. //     });
    150. 

  150. //
    151. 

  151. //     // 签名算法说明文档:https://www.qcloud.com/document/product/436/7778
    152. 

  152. //     // 步骤一:生成 SignKey
    153. 

  153. //     var signKey = crypto.createHmac('sha1', config.secretKey).update(qKeyTime).digest('hex');
    154. 

  154. //
    155. 

  155. //     // 步骤二:生成 StringToSign
    156. 

  156. //     var stringToSign = crypto.createHash('sha1').update(policy).digest('hex');
    157. 

  157. //
    158. 

  158. //     // 步骤三:生成 Signature
    159. 

  159. //     var qSignature = crypto.createHmac('sha1', signKey).update(stringToSign).digest('hex');
    160. 

  160. //
    161. 

  161. //     console.log(policy);
    162. 

  162. //     res.send({
    163. 

  163. //         policyObj: JSON.parse(policy),
    164. 

  164. //         policy: Buffer.from(policy).toString('base64'),
    165. 

  165. //         qSignAlgorithm: qSignAlgorithm,
    166. 

  166. //         qAk: config.secretId,
    167. 

  167. //         qKeyTime: qKeyTime,
    168. 

  168. //         qSignature: qSignature,
    169. 

  169. //         // securityToken: securityToken, // 如果使用临时密钥,要返回在这个资源 sessionToken 的值
    170. 

  170. //     });
    171. 

  171. // });
    172. 

  172. //
    173. 

  173. 

  174. app.all('*', function (req, res, next) {
    175. 

  175.     res.send({code: -1, message: '404 Not Found'});
    176. 

  176. });
    177. 

  177. 

  178. // 启动签名服务
    179. 

  179. app.listen(3000);
    180. 

  180. console.log('app is listening at http://127.0.0.1:3000');
    181.