Inicio Explorar Ayuda
Registro Iniciar sesión
moonsflyer
/
yunjing_master
1
0
Fork 0
Archivos Incidencias 0 Pull Requests 0 Wiki
Rama: master
Ramas Etiquetas
yunjing_master
/
public
/
txcloud_server
/
sts.js

sts.js 6.5 KB
Permalink Histórico Raw

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178 
  1. // 临时密钥服务例子
    2. 

  2. var bodyParser = require('body-parser');
    3. 

  3. var STS = require('qcloud-cos-sts');
    4. 

  4. var express = require('express');
    5. 

  5. var crypto = require('crypto');
    6. 

  6. var pathLib = require('path');
    7. 

  7. var fs = require('fs');
    8. 

  8. 

  9. // 配置参数
    10. 

  10. var config = {
    11. 

  11.     secretId: process.env.SecretId,
    12. 

  12.     secretKey: process.env.SecretKey,
    13. 

  13.     proxy: process.env.Proxy,
    14. 

  14.     durationSeconds: 1800,
    15. 

  15.     bucket: process.env.Bucket,
    16. 

  16.     region: process.env.Region,
    17. 

  17.     allowPrefix: '_ALLOW_DIR_/*',
    18. 

  18.     // 密钥的权限列表
    19. 

  19.     allowActions: [
    20. 

  20.         // 所有 action 请看文档 https://cloud.tencent.com/document/product/436/31923
    21. 

  21.         // 简单上传
    22. 

  22.         'name/cos:PutObject',
    23. 

  23.         'name/cos:PostObject',
    24. 

  24.         // 分片上传
    25. 

  25.         'name/cos:InitiateMultipartUpload',
    26. 

  26.         'name/cos:ListMultipartUploads',
    27. 

  27.         'name/cos:ListParts',
    28. 

  28.         'name/cos:UploadPart',
    29. 

  29.         'name/cos:CompleteMultipartUpload'
    30. 

  30.     ],
    31. 

  31. };
    32. 

  32. 

  33. // 创建临时密钥服务和用于调试的静态服务
    34. 

  34. var app = express();
    35. 

  35. 

  36. var replaceBucketRegion = (filePath) => {
    37. 

  37.     return (req, res, next) => {
    38. 

  38.         var content = fs.readFileSync(filePath).toString()
    39. 

  39.             .replace(/(var config = {\r?\n *Bucket: ')test-1250000000(',\r?\n *Region: ')ap-guangzhou(',?\r?\n};?)/,
    40. 

  40.             '$1' + process.env.Bucket + '$2' + process.env.Region +'$3');
    41. 

  41.         res.header('Content-Type', 'application/javascript');
    42. 

  42.         res.send(content);
    43. 

  43.     };
    44. 

  44. };
    45. 

  45. app.use('/demo/demo.js', replaceBucketRegion(pathLib.resolve(__dirname, '../demo/demo.js')));
    46. 

  46. app.use('/test/test.js', replaceBucketRegion(pathLib.resolve(__dirname, '../test/test.js')));
    47. 

  47. app.use('/dist/', express.static(pathLib.resolve(__dirname, '../dist')));
    48. 

  48. app.use('/demo/', express.static(pathLib.resolve(__dirname, '../demo')));
    49. 

  49. app.use('/test/', express.static(pathLib.resolve(__dirname, '../test')));
    50. 

  50. app.all('/', (req, res, next) => res.redirect('/demo/'));
    51. 

  51. app.use(bodyParser.json());
    52. 

  52. 

  53. // 格式一:临时密钥接口
    54. 

  54. app.all('/sts', function (req, res, next) {
    55. 

  55. 

  56.     // TODO 这里根据自己业务需要做好放行判断
    57. 

  57.     if (config.allowPrefix === '_ALLOW_DIR_/*') {
    58. 

  58.         res.send({error: '请修改 allowPrefix 配置项,指定允许上传的路径前缀'});
    59. 

  59.         return;
    60. 

  60.     }
    61. 

  61. 

  62.     // 获取临时密钥
    63. 

  63.     var LongBucketName = config.bucket;
    64. 

  64.     var ShortBucketName = LongBucketName.substr(0, LongBucketName.indexOf('-'));
    65. 

  65.     var AppId = LongBucketName.substr(LongBucketName.indexOf('-') + 1);
    66. 

  66.     var policy = {
    67. 

  67.         'version': '2.0',
    68. 

  68.         'statement': [{
    69. 

  69.             'action': config.allowActions,
    70. 

  70.             'effect': 'allow',
    71. 

  71.             'resource': [
    72. 

  72.                 'qcs::cos:' + config.region + ':uid/' + AppId + ':prefix//' + AppId + '/' + ShortBucketName + '/' + config.allowPrefix,
    73. 

  73.             ],
    74. 

  74.         }],
    75. 

  75.     };
    76. 

  76.     var startTime = Math.round(Date.now() / 1000);
    77. 

  77.     STS.getCredential({
    78. 

  78.         secretId: config.secretId,
    79. 

  79.         secretKey: config.secretKey,
    80. 

  80.         proxy: config.proxy,
    81. 

  81.         region: config.region,
    82. 

  82.         durationSeconds: config.durationSeconds,
    83. 

  83.         policy: policy,
    84. 

  84.     }, function (err, tempKeys) {
    85. 

  85.         if (tempKeys) tempKeys.startTime = startTime;
    86. 

  86.         res.send(err || tempKeys);
    87. 

  87.     });
    88. 

  88. });
    89. 

  89. 

  90. // // 格式二:临时密钥接口,支持细粒度权限控制
    91. 

  91. // // 判断是否允许获取密钥
    92. 

  92. // var allowScope = function (scope) {
    93. 

  93. //     var allow = (scope || []).every(function (item) {
    94. 

  94. //         return config.allowActions.includes(item.action) &&
    95. 

  95. //             item.bucket === config.bucket &&
    96. 

  96. //             item.region === config.region &&
    97. 

  97. //             (item.prefix || '').startsWith(config.allowPrefix);
    98. 

  98. //     });
    99. 

  99. //     return allow;
    100. 

  100. // };
    101. 

  101. // app.all('/sts-scope', function (req, res, next) {
    102. 

  102. //     var scope = req.body;
    103. 

  103. //
    104. 

  104. //     // TODO 这里根据自己业务需要做好放行判断
    105. 

  105. //     if (config.allowPrefix === '_ALLOW_DIR_/*') {
    106. 

  106. //         res.send({error: '请修改 allowPrefix 配置项,指定允许上传的路径前缀'});
    107. 

  107. //         return;
    108. 

  108. //     }
    109. 

  109. //     // TODO 这里可以判断 scope 细粒度控制权限
    110. 

  110. //     if (!scope || !scope.length || !allowScope(scope)) return res.send({error: 'deny'});
    111. 

  111. //
    112. 

  112. //     // 获取临时密钥
    113. 

  113. //     var policy = STS.getPolicy(scope);
    114. 

  114. //     var startTime = Math.round(Date.now() / 1000);
    115. 

  115. //     STS.getCredential({
    116. 

  116. //         secretId: config.secretId,
    117. 

  117. //         secretKey: config.secretKey,
    118. 

  118. //         proxy: config.proxy,
    119. 

  119. //         durationSeconds: config.durationSeconds,
    120. 

  120. //         policy: policy,
    121. 

  121. //     }, function (err, tempKeys) {
    122. 

  122. //         if (tempKeys) tempKeys.startTime = startTime;
    123. 

  123. //         res.send(err || tempKeys);
    124. 

  124. //     });
    125. 

  125. // });
    126. 

  126. //
    127. 

  127. // // 用于 PostObject 签名保护
    128. 

  128. // app.all('/post-policy', function (req, res, next) {
    129. 

  129. //     var query = req.query;
    130. 

  130. //     var now = Math.round(Date.now() / 1000);
    131. 

  131. //     var exp = now + 900;
    132. 

  132. //     var qKeyTime = now + ';' + exp;
    133. 

  133. //     var qSignAlgorithm = 'sha1';
    134. 

  134. //     var policy = JSON.stringify({
    135. 

  135. //         'expiration': new Date(exp * 1000).toISOString(),
    136. 

  136. //         'conditions': [
    137. 

  137. //             // {'acl': query.ACL},
    138. 

  138. //             // ['starts-with', '$Content-Type', 'image/'],
    139. 

  139. //             // ['starts-with', '$success_action_redirect', redirectUrl],
    140. 

  140. //             // ['eq', '$x-cos-server-side-encryption', 'AES256'],
    141. 

  141. //             {'q-sign-algorithm': qSignAlgorithm},
    142. 

  142. //             {'q-ak': config.secretId},
    143. 

  143. //             {'q-sign-time': qKeyTime},
    144. 

  144. //             {'bucket': config.bucket},
    145. 

  145. //             {'key': query.key},
    146. 

  146. //         ]
    147. 

  147. //     });
    148. 

  148. //
    149. 

  149. //     // 签名算法说明文档:https://www.qcloud.com/document/product/436/7778
    150. 

  150. //     // 步骤一:生成 SignKey
    151. 

  151. //     var signKey = crypto.createHmac('sha1', config.secretKey).update(qKeyTime).digest('hex');
    152. 

  152. //
    153. 

  153. //     // 步骤二:生成 StringToSign
    154. 

  154. //     var stringToSign = crypto.createHash('sha1').update(policy).digest('hex');
    155. 

  155. //
    156. 

  156. //     // 步骤三:生成 Signature
    157. 

  157. //     var qSignature = crypto.createHmac('sha1', signKey).update(stringToSign).digest('hex');
    158. 

  158. //
    159. 

  159. //     console.log(policy);
    160. 

  160. //     res.send({
    161. 

  161. //         policyObj: JSON.parse(policy),
    162. 

  162. //         policy: Buffer.from(policy).toString('base64'),
    163. 

  163. //         qSignAlgorithm: qSignAlgorithm,
    164. 

  164. //         qAk: config.secretId,
    165. 

  165. //         qKeyTime: qKeyTime,
    166. 

  166. //         qSignature: qSignature,
    167. 

  167. //         // securityToken: securityToken, // 如果使用临时密钥,要返回在这个资源 sessionToken 的值
    168. 

  168. //     });
    169. 

  169. // });
    170. 

  170. //
    171. 

  171. 

  172. app.all('*', function (req, res, next) {
    173. 

  173.     res.send({code: -1, message: '404 Not Found'});
    174. 

  174. });
    175. 

  175. 

  176. // 启动签名服务
    177. 

  177. app.listen(3000);
    178. 

  178. console.log('app is listening at http://127.0.0.1:3000');
    179.