阿里云 Oss 防刷实现

已于 2023-12-15 14:59:56 修改
阅读量1.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 整合 文章标签: 阿里云 云计算 oss权限 java
于 2023-09-27 11:26:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42875345/article/details/133310653
公司私有Oss服务满且需设权限,避免文件泄露。作者翻阅阿里云Oss权限文档,整合常用方法,包含文件增删、修改权限、获取签名等。经测试,上传文件设公共读可正常访问,修改权限后需签名才能访问,删除文件传全路径即可。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

最近公司的私有 Oss 服务满了,且 Oss 地址需要设置权限,只有当前系统的登录用户才能访问 Oss 下载地址。一开始想着用 Nginx 做个转发来着,Nginx 每当检测当前请求包含特定的 Oss 地址就转发到我们的统一鉴权接口上去,但是紧接着又细想了一下,转发后的地址被恶意分享出去了,不也还是存在文件泄露的风险吗?于是又去翻阅了一下阿里云的 Oss 权限相关的文档。借此整合一些常用的方法,机械代码自留也是分享给大家

完整代码

里面整合了文件的增、删、修改权限、获取签名等方法,各位替换成各自的 ak、sk 即可

package com.queyi.qykgjx.util;

import com.aliyun.oss.*;
import com.aliyun.oss.internal.OSSHeaders;
import com.aliyun.oss.model.*;
import org.apache.http.ParseException;
import org.springframework.web.multipart.MultipartFile;

import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;


public class OssUtilCsdn {
    private final static String ENDPOINT = "端点";
    private final static String ACCESS_KEY_ID = "ak";
    private final static String ACCESS_KEY_SECRET = "sk";
    private final static String BUCKET_NAME = "容器名";
    private static String HTTPS_URL_PREFIX = ENDPOINT.replace("https://", ("https://" + BUCKET_NAME + "."));
    private final static String FILE_CATALOG = "文件上传目录";
    
    public static void cpoy(String sourceKey, String dstKey, Boolean deleteSourceFile) {
        OSS ossClient = new OSSClientBuilder().build(ENDPOINT, ACCESS_KEY_ID, ACCESS_KEY_SECRET);
        CopyObjectRequest copyObjectRequest = new CopyObjectRequest(BUCKET_NAME, sourceKey, BUCKET_NAME, dstKey);
        ObjectMetadata objectMetadata = new ObjectMetadata();
        objectMetadata.setObjectAcl(CannedAccessControlList.Private);
        copyObjectRequest.setNewObjectMetadata(objectMetadata);
        ossClient.copyObject(copyObjectRequest);
        //删除被拷贝的文件
        if (deleteSourceFile) ossClient.deleteObject(BUCKET_NAME, sourceKey);
        ossClient.shutdown();
    }

    public static void setAcl(String bucketName, String url, Boolean privateAcl) {
        ClientBuilderConfiguration config = new ClientBuilderConfiguration();
        config.setSupportCname(false);
        OSS ossClient = new OSSClientBuilder().build(ENDPOINT, ACCESS_KEY_ID, ACCESS_KEY_SECRET);
        try {
            ossClient.setObjectAcl(bucketName == null ? BUCKET_NAME : bucketName,
                    getObjectNameByFullUrl(url),
                    privateAcl ? CannedAccessControlList.Private : CannedAccessControlList.PublicRead);
        } catch (OSSException oe) {
            oe.printStackTrace();
        } catch (ClientException ce) {
            ce.printStackTrace();
        } finally {
            if (ossClient != null) {
                ossClient.shutdown();
            }
        }
    }

    /**
     * @param bucketName 容器名称
     * @param file       待上传的文件
     * @param acl        文件权限
     */
    public static String upload(String bucketName, MultipartFile file, String acl) throws IOException {
        OSS ossClient = new OSSClientBuilder().build(ENDPOINT, ACCESS_KEY_ID, ACCESS_KEY_SECRET);
        if (null == bucketName || bucketName.length() > 0) bucketName = BUCKET_NAME;
        InputStream inputStream = file.getInputStream();
        String filename = file.getOriginalFilename();
        String[] split = filename.split("\\.");
        filename = new Date().getTime() + "." + split[split.length - 1];
        String s = FILE_CATALOG + "/" + filename.replaceAll("/", "");
        PutObjectRequest o = new PutObjectRequest(bucketName, s, inputStream);
        ObjectMetadata metadata = new ObjectMetadata();
        metadata.setHeader(OSSHeaders.OSS_STORAGE_CLASS, StorageClass.Standard.toString());
        if ("private".equals(acl)) metadata.setObjectAcl(CannedAccessControlList.Private);
        else if ("public".equals(acl)) metadata.setObjectAcl(CannedAccessControlList.PublicRead);
        else metadata.setObjectAcl(CannedAccessControlList.Private);
        o.setMetadata(metadata);
        ossClient.putObject(o);
        ossClient.shutdown();
        inputStream.close();
        return HTTPS_URL_PREFIX + "/" + s;
    }

    /**
     * 获取签名
     */
    public static String getSign(String key, int timeOut) throws ParseException {
        ClientBuilderConfiguration config = new ClientBuilderConfiguration();
        config.setSupportCname(false);
        Date expiration = new Date(new Date().getTime() + timeOut * 1000L);
        OSS ossClient = new OSSClientBuilder().build(ENDPOINT, ACCESS_KEY_ID, ACCESS_KEY_SECRET, config);
        URL url = ossClient.generatePresignedUrl(BUCKET_NAME, key, expiration);
        return url.toString().split("\\?")[1];
    }

    public static String getAclPath(String url, int timeOut) throws ParseException {
        ClientBuilderConfiguration config = new ClientBuilderConfiguration();
        config.setSupportCname(false);
        Date expiration = new Date(new Date().getTime() + timeOut * 1000L);
        OSS ossClient = new OSSClientBuilder().build(ENDPOINT, ACCESS_KEY_ID, ACCESS_KEY_SECRET, config);
        return ossClient.generatePresignedUrl(BUCKET_NAME, getObjectNameByFullUrl(url), expiration).toString();
    }

    public static String getObjectNameByFullUrl(String url) {
        if (!url.contains(FILE_CATALOG)) return null;
        /**
         * a/a.pdf
         */
        return FILE_CATALOG + url.split(FILE_CATALOG)[1];
    }

    /**
     * 删
     */
    public static List<String> deleteObject(String bucketName, List<String> keys) {
        ArrayList<String> newKeys = new ArrayList<>();
        keys.stream().forEach(key -> {
            newKeys.add(key.replace(HTTPS_URL_PREFIX + "/", ""));
        });
        OSS ossClient = new OSSClientBuilder().build(ENDPOINT, ACCESS_KEY_ID, ACCESS_KEY_SECRET);
        DeleteObjectsResult deleteObjectsResult = ossClient
                .deleteObjects(new DeleteObjectsRequest(bucketName == null ? BUCKET_NAME : bucketName)
                        .withKeys(newKeys));
        List<String> deletedObjects = deleteObjectsResult.getDeletedObjects();
        ossClient.shutdown();
        return deletedObjects;
    }

}

整合接口

 @PostMapping("csdnUpFile")
    public Result csdnUpFile(@RequestParam("file") MultipartFile multipartFile
            , @RequestParam("acl") String perm) throws IOException {
        HashMap<String, String> map = new HashMap<>();
        map.put("fileName", multipartFile.getOriginalFilename());
        map.put("fileUrl", OssUtil.zzhUpload(null, multipartFile, perm));
        return Result.success(map);
    }
    @PostMapping("csdnSetAcl")
    public Result csdnSetAcl(@RequestParam("filePath") String filePath) throws IOException {
        OssUtil.setAcl(null, filePath, true);
        return Result.success("ok");
    }
    @PostMapping("csdnGetAclPath")
    public Result csdnGetAclPath(@RequestParam("filePath") String url) throws IOException {
        return Result.success(OssUtil.getAclPath(url, 60));
    }

    @PostMapping("csdnDeleteFile")
    public Result csdnDeleteDile(@RequestBody List<String> urls) throws IOException {
        return Result.success(OssUtil.deleteObject(null, urls));
    }

测试

上传文件设置成公共读
在这里插入图片描述
文件正常访问

在这里插入图片描述
将全路径地址作为参数掉修改权限接口

在这里插入图片描述
再次访问此地址提示无权限

在这里插入图片描述

加上签名访问文件可以正常访问

其他方法不做一一测试了,删除文件也是传上传接口返回的全路径即可,可直接删除文件。其他操作看下阿里的Oss 文档即可,机械代码不做过多描述

在这里插入图片描述

阿里云 OSS 如何设置防盗链, 上个月图床流量耗费50G+,请求次数10W+,什么鬼?
weixin_34090562的博客
05-18 2900
欢迎关注个人微信公众号: 小哈学Java, 优质文章第一时间获取!! 个人网站: www.exception.site/essay/how-t… 目录 一、背景 二、背后有啥猫腻 三、什么是盗链? 四、为什么会被盗链? 五、OSS 设置防盗链 六、验证一下效果 七、另外一些应对手段 一、背景 小哈前天陆续接到三个电话,但都因为忙于工作、下雨天等各种因素导致没接上,电话均来自杭州,心理一想,估计...
阿里云OSS安装包防盗
chen_cong_520的博客
11-20 300
止资源包被盗,故通过程序控制下载频次。
OSS止恶意被
xiangzaixiansheng的博客
10-09 8635
OSS和CDN都是一些常用的通过流量计费的,如果被恶意新将会造成一些不必要的财产损失。本文主要记录一些关于阿里云oss措施。首先我们分两种情况来排查:1、恶意referer访问2、恶意ip库脚本新。
阿里云对象存储之文件上传
weixin_53998054的博客
08-19 1712
文件上传
如何避免阿里云对象储存OSS被盗
木头分享 - 分享有价值的、实用的干货
10-23 1133
例如配置为*www.aliyun.com/,可匹配如http://www.aliyun.com/和https://www.aliyun.com/地址。配置为*.aliyun.com,可匹配如help.aliyun.com、www.aliyun.com等地址。在www.aliyun.com/123、www.aliyun.com.cn等以www.aliyun.com为前缀的地址。支持带端口的域名或IP地址,例如www.example.com:8080、10.10.10.10:8080等地址。
对象存储OSS 客户端签名直传的安全风险和解决方法
qq_33163046的博客
06-07 3521
本文探讨了OSS客户端签名直传的安全风险及解决方法。我们对比了OSS与文件系统,分析了客户端直传的风险,并提出了多种解决方案,如服务端生成STS临时访问凭证和签名URL。通过A企业案例展示了实际应用效果,并提供了多种OSS安全最佳实践。希望本文能帮助读者更好地理解和应对OSS的安全挑战,保护数据安全。
阿里云的云安全护产品有哪些?都有什么作用?
云计算分享家
10-08 4496
阿里云的云安全护产品有哪些?都有什么作用? 阿里云的云安全护产品有以下产品,不同的云安全护产品有不同的安全护作用,分别详细介绍如下 (注:点击产品名称,可进入产品页购买或了解详情): DDoS高IP:针对互联网服务器(包括非阿里云主机)在遭受大流量DDoS攻击后导致服务不可用的情况下,推出的付费服务,用户可通过配置高IP,将攻击流量引流到高IP,确保源站的稳定可靠; W...
阿里云云原生一体化数仓 — 数据治理新能力解读
数据库技术
07-20 1006
本文介绍大数据开发治理平台DataWorks在数据治理领域的最新产品进展,包括基于事前、事中、事后的全链路理念构建的核心产品功能和数据治理量化评估机制解读,以及围绕降本增效的成本治理最佳实践。...
阿里云介绍
NilEcho2333的博客
09-05 4104
阿里云 概念 阿里云创立于2009年,是全球领先的云计算及人工智能科技公司,致力于以在线公共服务的方式,提供安全、可靠的计算和数据处理能力,让计算和人工智能成为普惠科技。阿里云服务着制造、金融、政务、交通、医疗、电信、能源等众多领域的领军企业,包括中国联通、12306、中石化、中石油、飞利浦、华大基因等大型企业客户,以及微博、知乎、锤子科技等明星互联网公司。在天猫双11全球狂欢节、12306春运购票等极富挑战的应用场景中,阿里云保持着良好的运行纪录。 背景 阿里云创建于2009年,这家公司从创建开始就被定
阿里云ACA认证学习(SLB&云上安全护)
Aaron_Beck的博客
06-26 1891
目录SLB产品概要负载均衡SLB可以做什么SLB的特点SLB简介SLB核心概念SLB主要功能SLB主要操作SLB相关的问题后端ECS实例相关的问题在线实验:负载均衡使用初体验在线实验:高并发访问时流量分发和会话保持的实现云上安全护互联网安全的形势及常见威胁2014年重要的安全事件事件一、1·21中国互联网DNS大劫难事件二、中国快递1400万信息泄露事件三、12306用户数据泄露事件四、OpenSSL心脏出血漏洞安全形势常见威胁阿里云安全体系及云盾概览阿里云云安全体系云盾的基础DDoS护安全相关的概念D
假如 我上传 了一个oss 文件 如果保证 这个用户 拿到后 进行盗
qq_33240556的博客
07-08 812
保护OSS(Object Storage Service,对象存储服务)中上传的文件,止用户下载后进行非法传播或盗,是一个涉及版权保护、访问控制和安全策略的问题。请注意,任何技术手段都不是绝对安全的,重要的是综合运用多种策略,形成多层次的护体系。同时,也要平衡用户体验与安全保护之间的关系,避免过度限制影响正常用户的使用体验。
阿里云CDN和oss怎么止被流量高额欠费?
weixin_71114441的博客
07-09 893
这两个产品都是按流量计费的,被攻击者流量就会产生高额账单。CDN可以选择用固定的流量包oss搭配CDN使用,把oss地址作为源接入,CDN主要是隐藏oss地址,很多人练手搞攻击,提前做好安全预案很有必要。
sm_Bo的博客
04-08 1693
Background 接口不妨分分钟作死 Analysis 1.跟csrf 有点类似,要调用接口必须使用一些方法来验证你的身份,token就是最有效常用的一种,其实本质上也是接口 2.现在很多平台,类似阿里与,腾讯,要使用他们的接口都必须使用他们的验证方法(都是动态算法,这种验证机制下次还要好好研究一下) 3.跟ddos攻击不同,那个是通过一堆包过来堵着带宽,别人的请求就进不来了
阿里云 短信服务——开启验证码防盗监控
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
11-06 1451
由于公司的业务要求,目前正在了解并运用阿里云的短信服务。在短信服务这儿块由于涉及到每条短信都需要花费一定的费用,以及每条短信都会与用户进行信息交互,所以在这块儿的别需要注重短信的安全问题。本篇博客主要介绍阿里云短信服务如何设置短信发送频率限制,文章参照阿里云官方。
阿里云oss开启防盗后小程序图片不显示
老虎帅呆了的博客
03-24 1814
oss防盗白名单中添加https://servicewechat.com
COS配置CDN及防盗方案
Eliaukgit的博客
09-26 1436
​ 近年来,越来越多用户在使用对象存储服务搭建个人图床以及个人网站时被别有用心者使坏,盗了流量,最终导致账户欠费,少则几百,多则达到上万,看到这些案例,我自己也时刻警惕自己,这里也提醒大家,在使用云服务厂商的产品时,一定要了解清楚,不要盲目跟风,否则可能就会有问题出现。我这两天也是看了很多预这种ddos、cc攻击,得到得一个结论就是这不能完全避免,只能降低损失,也有大佬说过大佬一:细思极恐啊!毕竟对于我这种兜里没多少钱的肯定要高度重视起来,如果你家有别墅靠大海,可以使劲造😀这里我借鉴。
破解,一小点
志伟入归未有时(兴业和家)
08-04 882
1.应用代码混淆,可参考国外开发者写的方案https://github.com/Polidea/ios-class-guard,这个还有点bug,需要懂一些shell脚本。 2.链接一定要采用https,而且绑定证书,用afnetworking非常方便。 3.关键的传输数据要进行数字信封(随机数加时间戳),数字摘要(md5),不对称加密(rsa)综合加固。 4.关键业务的js通过加密的方式传
阿里云OSS防盗链方案详解
热门推荐
草莓甜甜圈的博客
06-22 1万+
OSS(Open StorageService)非常适合存储静态文件并提供对外访问,例如图片、文档、视频、音频和静态页面等。它是一种海量、安全、低成本、高可靠的云存储服务,并按存储空间和对外流出流量计费。OSS要为网站提供真正意义上的服务,一定要解决防盗链的问题。本最佳实践要解决的主要问题就是如何实现防盗链机制,避免承担因此带来的额外OSS流量费用。 OSS在 Bucket级别提供了...
国际阿里云对象存储被盗流量了怎么办?
mimi258的博客
08-05 396
OSS签名URL:https://www.alibabacloud.com/help/zh/object-storage-service/latest/how-do-i-obtain-the-url-of-an-uploaded-object 详见私有Object签名URL获取方式,及多个文件URL获取方式。Bucket ACL分为public-read-write(公共读写)、public-read(公共读)和private(私有)三种。如果你的业务是公开网络平台项目。那么一定要按照以下修改!
互联网招聘系统设计与实现
最新发布
03-21
<think>嗯,用户想知道如何设计和实现一个互联网招聘系统。首先,我得理清这个系统的核心模块和架构。根据之前提到的引用,网上招聘系统相比传统方式有优势,比如节省成本、提高效率[^1][^3]。所以设计时要考虑用户管理、职位发布、简历管理、搜索匹配、在线沟通这些基本功能模块。 然后技术选型方面,引用里提到了SSM框架(Spring+SpringMVC+MyBatis),还有JSP和Servlet[^2]。可能后端用Spring Boot简化配置,前端用Vue或React,数据库选MySQL。另外,需要考虑系统的可扩展性和安全性,比如使用JWT做认证,Redis缓存热点数据。 用户需求分析很重要,得区分求职者、企业和管理员的不同需求。求职者需要搜索职位、投递简历,企业要发布职位、查看简历,管理员则管理用户和内容。这里可能需要角色权限控制,Spring Security可能是个不错的选择。 数据库设计方面,用户表、企业表、职位表、简历表、投递记录表这些是必须的。比如职位表要包含职位名称、类型、薪资、要求等字段,简历表需要关联用户,存储教育经历和工作经验。 在实现方案里,前后端分离的架构比较流行,前端用Vue+Element UI,后端用Spring Boot整合MyBatis。第三方服务集成比如阿里云的短信服务,用于注册和通知,可能还需要用到Elasticsearch实现高效搜索。 性能优化方面,缓存和负载均衡是关键。引用提到传统系统需要很多人力,而线上系统可以节省资源,所以系统需要稳定,能处理高并发。可能用Nginx做反向代理,Redis缓存高频访问的数据。 测试和部署阶段,单元测试、压力测试不能少,自动化部署用Jenkins或Docker容器化,提高效率。安全方面,止SQL注入和XSS攻击,HTTPS加密数据传输。 最后,系统上线后要持续收集反馈,优化用户体验。比如简历解析的准确度,推荐算法的精准性,这些都需要不断迭代。可能还需要考虑移动端适配,或者开发小程序,增加用户粘性。</think>### 互联网招聘系统设计与实现方案 #### 一、系统架构设计 1. **分层架构** 采用前后端分离模式,前端使用Vue.js+Element UI框架,后端基于Spring Boot+MyBatis构建,数据库使用MySQL,辅以Redis缓存高频数据[^4]。 2. **核心模块划分** - 用户模块:支持个人/企业双角色注册登录(含短信验证) - 职位模块:企业发布/管理岗位,支持分类筛选与薪资区间设置 - 简历模块:在线简历编辑、智能解析、PDF导出 - 搜索模块:Elasticsearch实现职位/简历双向精准检索 - 推荐模块:基于用户行为的协同过滤推荐算法 - 沟通模块:站内信+WebSocket实时聊天 #### 二、关键技术实现 ```java // 简历解析核心代码示例(使用Apache POI) public Resume parseResume(MultipartFile file) { try (InputStream is = file.getInputStream()) { XWPFDocument doc = new XWPFDocument(is); return extractResumeData(doc); // 提取文本段落与表格数据 } catch (IOException e) { throw new ResumeParseException("简历解析失败"); } } ``` #### 三、数据库设计要点 $$ \begin{array}{|c|c|} \hline \text{表名} & \text{核心字段} \\ \hline user & id, phone, password, type(1个人/2企业) \\ \hline position & id, company_id, title, salary_range \\ \hline resume & user_id, education_json, work_experience_json \\ \hline delivery & position_id, resume_id, status(0待处理/1已查看) \\ \hline \end{array} $$ #### 四、性能优化策略 1. 使用Redis缓存热门职位搜索数据,降低数据库压力 2. 采用Nginx负载均衡应对高并发场景 3. 简历文件存储采用OSS对象存储服务 4. 异步处理简历解析与消息推送任务 #### 五、安全护措施 - JWT令牌实现无状态认证 - 敏感数据加密存储(如密码采用BCrypt加密) - 接口机制(滑动窗口限流算法) - XSS过滤器净化用户输入内容
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小咸鱼的技术窝

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值