OSS通過使用AccessKey ID、AccessKey Secret對稱加密的方法來驗證某個請求的發送者身份。

AccessKey包含AccessKey ID和AccessKey Secret。其中,AccessKey ID用于標識用戶,AccessKey Secret是用戶用于加密簽名字符串和OSS用來驗證簽名字符串的密鑰,AccessKey Secret必須保密。AccessKey根據所屬賬號的類型有所區分。

  • 阿里云賬號AccessKey:每個阿里云賬號提供的AccessKey對擁有的資源有完全的權限。
  • RAM用戶AccessKey:RAM賬戶由阿里云賬號授權生成,所用的AccessKey擁有對特定資源限定的操作權限。
  • STS臨時訪問憑證:通過STS服務生成的臨時訪問憑證包括安全令牌 (SecurityToken)、臨時訪問密鑰STS AccessKey(AccessKey ID和AccessKey Secret)。所用的AccessKey在限定時間內擁有對特定資源限定的操作權限。臨時訪問憑證過期后,權限將自動失效。

當您以個人身份向OSS發送請求時,首先需要將發送的請求按照OSS指定的格式生成簽名字符串,然后使用AccessKey Secret對簽名字符串進行加密產生驗證碼。OSS收到請求后,通過AccessKey ID找到對應的AccessKey Secret,并以同樣的方法提取簽名字符串和驗證碼。如果計算出來的驗證碼和提供的一致則認為該請求有效;否則,OSS將拒絕處理這次請求,并返回HTTP 403錯誤。

有關OSS權限控制的更多信息,請參見權限控制概述