問題使用基於HTTP POST

Question

我有瀏覽器就上傳文件到Amazon S3 JSP頁面

• 訪問密鑰生成一對夫婦使用HTTP POST形式由用戶直接有關的文件上傳到Amazon S3的問題並且簽名 需要向用戶公開，以 允許他從JSP上傳文件 表單。在簽名中，我必須設置 的到期時間，否則由 默認爲15分鐘有效。

  i）用戶可以使用這些詳細信息上傳到門戶以外的S3以更新他的文件或更新/修改其他文件。 ㈡）。我如何設定避免這種情況的政策？

• 用戶可以使用 多重請求的簽名嗎？如果是的話，如何 阻止用戶上傳多個 ？如何確保 用戶只能將此簽名與 請求一起使用？

• 有時可能會出現問題 存在延遲和上傳的Amazon S3。 如果來自S3的響應需要時間 並且用戶嘗試再次上傳文件 。他會收到一個例外， 我該如何處理？

感謝

Answer 1

公共接入密鑰不能用於任何沒有密鑰。 切勿暴露您的密鑰。

只要您在服務器上籤署了您的安全策略。該簽名僅在您指定和上傳到特定存儲桶和密鑰時有效。如果沒有密鑰，用戶無法創建另一個簽名來上傳任何其他文件。

他們無法訪問任何其他文件。

據我所知，簽名到期時間只需在啓動上傳時有效，這樣您就可以設置很短的時間。

Answer 2

i）用戶可以使用這些細節上傳到我的門戶以外的S3到 更新他的文件或更新/修改其他文件。

是的，用戶可以使用這些詳細信息來重放動作。您可以指定文件名，以便他只能更新他上傳的文件。 ii）。

ii）。我如何設定避免這種情況的政策？

您可以添加一些其他條件來限制訪問。像「到期」一樣，將其設置爲生成簽名後的5/10分鐘。你可以添加任何其他條件，如「user_id」或其他。