閱讀683 返回首頁    go 阿裏雲

訪問控製__Android SDK_SDK使用手冊_消息服務-阿裏雲

移動終端是一個不受信任的環境,如果把AccessKeyId和AccessKeySecret直接保存在終端本地用來加簽請求,存在極高的風險。為此,SDK提供了建議隻在測試時使用的 明文設置模式,和另外兩種依賴於您的業務Server的鑒權模式: STS鑒權模式自簽名模式

明文設置模式

  1. String endpoint = "https://mns.cn-hangzhou.aliyuncs.com";
  3. // 明文設置AccessKeyId/AccessKeySecret的方式建議隻在測試時使用
  4. CredentialProvider credentialProvider = new PlainTextAKSKCredentialProvider("<accessKeyId>", "<accessKeySecret>");
  6. MNS mnss = new MNSClient(getApplicationContext(), endpoint, credentialProvider);

STS鑒權模式

介紹

MNS可以通過阿裏雲STS服務,臨時進行授權訪問。阿裏雲STS (Security Token Service) 是為雲計算用戶提供臨時訪問令牌的Web服務。通過STS,您可以為第三方應用或聯邦用戶(用戶身份由您自己管理)頒發一個自定義時效和權限的訪問憑證,App端稱為FederationToken。第三方應用或聯邦用戶可以使用該訪問憑證直接調用阿裏雲產品API,或者使用阿裏雲產品提供的SDK來訪問雲產品API。

  • 您不需要透露您的長期密鑰(AccessKey)給第三方應用,隻需要生成一個訪問令牌並將令牌交給第三方應用即可。這個令牌的訪問權限及有效期限都可以由您自定義。
  • 您不需要關心權限撤銷問題,訪問令牌過期後就自動失效。

以APP應用為例,交互流程如下圖:

mns-sts

方案的詳細描述如下:

  1. App用戶登錄。App用戶身份是客戶自己管理。客戶可以自定義身份管理係統,也可以使用外部Web賬號或OpenID。對於每個有效的App用戶來說,AppServer可以確切地定義出每個App用戶的最小訪問權限。
  2. AppServer請求STS服務獲取一個安全令牌(SecurityToken)。在調用STS之前,AppServer需要確定App用戶的最小訪問權限(用Policy語法描述)以及授權的過期時間。然後通過調用STS的AssumeRole(扮演角色)接口來獲取安全令牌。角色管理與使用相關內容請參考《RAM使用指南》中的角色管理
  3. STS返回給AppServer一個有效的訪問憑證,App端稱為FederationToken,包括一個安全令牌(SecurityToken)、臨時訪問密鑰(AccessKeyId, AccessKeySecret)以及過期時間。
  4. AppServer將FederationToken返回給ClientApp。ClientApp可以緩存這個憑證。當憑證失效時,ClientApp需要向AppServer申請新的有效訪問憑證。比如,訪問憑證有效期為1小時,那麼ClientApp可以每30分鍾向AppServer請求更新訪問憑證。
  5. ClientApp使用本地緩存的FederationToken去請求Aliyun Service API。雲服務會感知STS訪問憑證,並會依賴STS服務來驗證訪問憑證,並正確響應用戶請求。

STS安全令牌詳情,請參考《RAM使用指南》中的角色管理。關鍵是調用STS服務接口AssumeRole來獲取有效訪問憑證即可。也可以直接使用STS SDK來調用該方法,點擊查看

使用這種模式授權需要先開通阿裏雲RAM服務:RAM

STS使用手冊:https://docs.aliyun.com/#/pub/ram/sts-sdk/sts_java_sdk&preface

MNS授權策略配置:點擊查看

直接設置StsToken

您可以在APP中,預先通過某種方式(如通過網絡請求從您的業務Server上)獲取一對StsToken,然後用它來初始化SDK。采取這種使用方式,您需要格外關注StsToken的過期時間,在StsToken即將過期時,需要您主動更新新的StsToken到SDK中。

初始化代碼為:

  1. String endpoint = "https://mns.cn-hangzhou.aliyuncs.com";
  3. CredentialProvider credentialProvider = new StsTokenCredentialProvider("<StsToken.AccessKeyId>", "<StsToken.SecretKeyId>", "<StsToken.SecurityToken>");
  5. MNS mns = new MNSClient(getApplicationContext(), endpoint, credentialProvider);

在您判斷到Token即將過期時,您可以重新構造新的MNSClient,也可以通過如下方式更新CredentialProvider:

  1. mns.updateCredentialProvider(new StsTokenCredentialProvider("<StsToken.AccessKeyId>", "<StsToken.SecretKeyId>", "<StsToken.SecurityToken>"));

實現獲取StsToken回調

如果您期望SDK能自動幫您管理Token的更新,那麼,您需要告訴SDK如何獲取Token。在SDK的應用中,您需要實現一個回調,這個回調通過您實現的方式去獲取一個Federation Token(即StsToken),然後返回。SDK會利用這個Token來進行加簽處理,並在需要更新時主動調用這個回調獲取Token,如圖示:

  1. String endpoint = "https://mns.cn-hangzhou.aliyuncs.com";
  3. CredentialProvider credentialProvider = new FederationCredentialProvider() {
  5.     @Override
  6.     public FederationToken getFederationToken() {
  7.         // 您需要在這裏實現獲取一個FederationToken,並構造成FederationToken對象返回
  8.         // 如果因為某種原因獲取失敗,可直接返回nil
  10.         FederationToken * token;
  11.         // 下麵是一些獲取token的代碼,比如從您的server獲取
  12.         ...
  13.         return token;
  14.     }
  15. };
  17. MNS mns = new MNSClient(getApplicationContext(), endpoint, credentialProvider);

此外,如果您已經通過別的方式拿到token所需的各個字段,也可以在這個回調中直接返回。如果這麼做的話,您需要自己處理token的更新,更新後重新設置該MNSClient實例的CredentialProvider。

使用示例:

假設您搭建的server地址為: https://localhost:8080/distribute-token.json ,並假設訪問這個地址,返回的數據如下:

  1. {"accessKeyId":"STS.iA645eTOXEqP3cg3VeHf",
  2. "accessKeySecret":"rV3VQrpFQ4BsyHSAvi5NVLpPIVffDJv4LojUBZCf",
  3. "expiration":"2015-11-03T09:52:59Z",
  4. "federatedUser":"335450541522398178:alice-001",
  5. "requestId":"C0E01B94-332E-4582-87F9-B857C807EE52",
  6. "securityToken":"CAES7QIIARKAAZPlqaN9ILiQZPS+JDkS/GSZN45RLx4YS/p3OgaUC+oJl3XSlbJ7StKpQ...."}

那麼,您可以這麼實現一個FederationCredentialProvider實例:

  1. CredentialProvider credetialProvider = new FederationCredentialProvider() {
  2.     @Override
  3.     public FederationToken getFederationToken() {
  4.         try {
  5.             URL stsUrl = new URL("https://localhost:8080/distribute-token.json");
  6.             HttpURLConnection conn = (HttpURLConnection) stsUrl.openConnection();
  7.             InputStream input = conn.getInputStream();
  8.             String jsonText = IOUtils.readStreamAsString(input, MNSConstants.DEFAULT_CHARSET_NAME);
  9.             JSONObject jsonObjs = new JSONObject(jsonText);
  10.             String ak = jsonObjs.getString("accessKeyId");
  11.             String sk = jsonObjs.getString("accessKeySecret");
  12.             String token = jsonObjs.getString("securityToken");
  13.             String expiration = jsonObjs.getString("expiration");
  14.             return new FederationToken(ak, sk, token, expiration);
  15.         } catch (Exception e) {
  16.             e.printStackTrace();
  17.         }
  18.         return null;
  19.     }
  20. };

自簽名模式

您可以把AccessKeyId/AccessKeySecret保存在您的業務server,然後在SDK實現回調,將需要加簽的合並好的簽名串POST到server,您在業務server對這個串按照MNS規定的簽名算法簽名之後,返回給該回調函數,再由回調返回。

簽名算法參考:點我查看

content是已經根據請求各個參數拚接後的字符串,所以算法為:

  1. signature = "MNS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content))

如下:

  1. String endpoint = "https://mns.cn-hangzhou.aliyuncs.com";
  3. credentialProvider = new CustomSignerCredentialProvider() {
  4.     @Override
  5.     public String signContent(String content) {
  6.         // 您需要在這裏依照MNS規定的簽名算法,實現加簽一串字符內容,並把得到的簽名傳拚接上AccessKeyId後返回
  7.         // 一般實現是,將字符內容post到您的業務服務器,然後返回簽名
  8.         // 如果因為某種原因加簽失敗,描述error信息後,返回nil
  10.         // 以下是用本地算法進行的演示
  11.         return "MNS " + AccessKeyId + ":" + base64(hmac-sha1(AccessKeySecret, content));
  12.     }
  13. };
  15. MNS mns = new MNSClient(getApplicationContext(), endpoint, credentialProvider);

特別注意: 無論是STS鑒權模式,還是自簽名模式,您實現的回調函數,都需要保證調用時返回結果。所以,如果您在其中實現了向業務server獲取token、signature的網絡請求,建議調用網絡庫的同步接口。回調都是在SDK具體請求的時候,在請求的子線程中執行,所以不會阻塞主線程。

最後更新:2016-11-23 16:04:17

  上一篇:go 初始化__Android SDK_SDK使用手冊_消息服務-阿裏雲
  下一篇:go 異常處理__Android SDK_SDK使用手冊_消息服務-阿裏雲