अमेज़ॅन S3 डायरेक्ट फ़ाइल क्लाइंट ब्राउज़र से अपलोड - निजी कुंजी प्रकटीकरण

मैं किसी भी सर्वर-साइड कोड के बिना केवल जावास्क्रिप्ट का उपयोग करके REST एपीआई के माध्यम से ग्राहक मशीन से अमेज़न एस 3 पर एक सीधा फ़ाइल अपलोड लागू कर रहा हूं। सभी ठीक काम करते हैं लेकिन एक बात मुझे चिंतित कर रही है ...

जब मैं Amazon S3 REST API के लिए एक अनुरोध भेजता हूं, तो मुझे अनुरोध पर हस्ताक्षर करने और हस्ताक्षर करने की आवश्यकता है Authentication हेडर । हस्ताक्षर बनाने के लिए, मुझे अपनी गुप्त कुंजी का उपयोग करना चाहिए। लेकिन सभी चीजें क्लाइंट साइड पर होती हैं, इसलिए, गुप्त कुंजी को आसानी से पृष्ठ स्रोत से प्रकट किया जा सकता है (भले ही मैं अपने स्रोतों को बाधित / एन्क्रिप्ट करता हूं)।

इससे मैं किस तरह निपट सकता हूं? और क्या यह एक समस्या है? हो सकता है कि मैं विशिष्ट निजी कुंजी उपयोग को केवल एक विशिष्ट CORS उत्पत्ति से REST API कॉल तक सीमित कर सकता हूं और केवल PUT और POST विधियों या केवल S3 और विशिष्ट बाल्टी की कुंजी लिंक कर सकता हूं? हो सकता है कि एक और प्रमाणीकरण विधियां हों?

"सर्वर रहित" समाधान आदर्श है, लेकिन मैं कुछ सर्वरसाइड प्रसंस्करण को शामिल करने पर विचार कर सकता हूं, अपने सर्वर पर फ़ाइल अपलोड करने को छोड़कर और फिर S3 में भेज सकता हूं।

मुझे लगता है कि आप जो चाहते हैं वह POST का उपयोग करके ब्राउज़र-आधारित अपलोड है।

मूल रूप से, आपको सर्वर-साइड कोड की आवश्यकता होती है, लेकिन यह सब कुछ हस्ताक्षरित नीतियों को उत्पन्न करता है। क्लाइंट-साइड कोड पर हस्ताक्षरित नीति होने के बाद, यह आपके सर्वर से गुजरने वाले डेटा के बिना PO3 को सीधे S3 में अपलोड कर सकता है।

यहाँ आधिकारिक डॉक्टर लिंक हैं:

आरेख: http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingHTTPPOST.html

उदाहरण कोड: http://docs.aws.amazon.com/AmazonS3/latest/dev/HTTPPOSTExam.net.html

हस्ताक्षरित नीति इस तरह से आपके html में जाएगी:

<html>
  <head>
    ...
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    ...
  </head>
  <body>
  ...
  <form action="http://johnsmith.s3.amazonaws.com/" method="post" enctype="multipart/form-data">
    Key to upload: <input type="input" name="key" value="user/eric/" /><br />
    <input type="hidden" name="acl" value="public-read" />
    <input type="hidden" name="success_action_redirect" value="http://johnsmith.s3.amazonaws.com/successful_upload.html" />
    Content-Type: <input type="input" name="Content-Type" value="image/jpeg" /><br />
    <input type="hidden" name="x-amz-meta-uuid" value="14365123651274" />
    Tags for File: <input type="input" name="x-amz-meta-tag" value="" /><br />
    <input type="hidden" name="AWSAccessKeyId" value="AKIAIOSFODNN7EXAMPLE" />
    <input type="hidden" name="Policy" value="POLICY" />
    <input type="hidden" name="Signature" value="SIGNATURE" />
    File: <input type="file" name="file" /> <br />
    <!-- The elements after this will be ignored -->
    <input type="submit" name="submit" value="Upload to Amazon S3" />
  </form>
  ...
</html>

ध्यान दें कि FORM क्रिया सीधे S3 में फ़ाइल भेज रही है - आपके सर्वर के माध्यम से नहीं।

अपने उपयोगकर्ताओं की हर बार एक एक फ़ाइल अपलोड करना चाहता है, आपके द्वारा बनाए गए हैं POLICYऔर SIGNATUREअपने सर्वर पर। आप उपयोगकर्ता के ब्राउज़र पर पृष्ठ वापस करते हैं। उपयोगकर्ता आपके सर्वर से गुजरे बिना सीधे S3 में फ़ाइल अपलोड कर सकता है।

जब आप पॉलिसी पर हस्ताक्षर करते हैं, तो आप आम तौर पर कुछ मिनटों के बाद पॉलिसी को समाप्त कर देते हैं। यह आपके उपयोगकर्ताओं को अपलोड करने से पहले आपके सर्वर से बात करने के लिए मजबूर करता है। इससे यदि आप चाहें तो अपलोड को मॉनिटर और सीमित कर सकते हैं।

आपके सर्वर से या उसके पास जाने वाला एकमात्र डेटा हस्ताक्षरित URL है। आपकी गुप्त कुंजियाँ सर्वर पर गुप्त रहती हैं।

आप यह कर सकते हैं AWS S3 Cognito इस लिंक को यहाँ देखें:

http://docs.aws.amazon.com/AWSJavaScriptSDK/guide/browser-examples.html#Amazon_S3

इस कोड को भी आज़माएं

बस क्षेत्र, IdentityPoolId और आपका बकेट नाम बदलें

<!DOCTYPE html>
<html>

<head>
    <title>AWS S3 File Upload</title>
    <script src="https://sdk.amazonaws.com/js/aws-sdk-2.1.12.min.js"></script>
</head>

<body>
    <input type="file" id="file-chooser" />
    <button id="upload-button">Upload to S3</button>
    <div id="results"></div>
    <script type="text/javascript">
    AWS.config.region = 'your-region'; // 1. Enter your region

    AWS.config.credentials = new AWS.CognitoIdentityCredentials({
        IdentityPoolId: 'your-IdentityPoolId' // 2. Enter your identity pool
    });

    AWS.config.credentials.get(function(err) {
        if (err) alert(err);
        console.log(AWS.config.credentials);
    });

    var bucketName = 'your-bucket'; // Enter your bucket name
    var bucket = new AWS.S3({
        params: {
            Bucket: bucketName
        }
    });

    var fileChooser = document.getElementById('file-chooser');
    var button = document.getElementById('upload-button');
    var results = document.getElementById('results');
    button.addEventListener('click', function() {

        var file = fileChooser.files[0];

        if (file) {

            results.innerHTML = '';
            var objKey = 'testing/' + file.name;
            var params = {
                Key: objKey,
                ContentType: file.type,
                Body: file,
                ACL: 'public-read'
            };

            bucket.putObject(params, function(err, data) {
                if (err) {
                    results.innerHTML = 'ERROR: ' + err;
                } else {
                    listObjs();
                }
            });
        } else {
            results.innerHTML = 'Nothing to upload.';
        }
    }, false);
    function listObjs() {
        var prefix = 'testing';
        bucket.listObjects({
            Prefix: prefix
        }, function(err, data) {
            if (err) {
                results.innerHTML = 'ERROR: ' + err;
            } else {
                var objKeys = "";
                data.Contents.forEach(function(obj) {
                    objKeys += obj.Key + "<br>";
                });
                results.innerHTML = objKeys;
            }
        });
    }
    </script>
</body>

</html>

आप कह रहे हैं कि आप "सर्वर रहित" समाधान चाहते हैं। लेकिन इसका मतलब है कि आपके पास लूप में "अपना" कोड डालने की कोई क्षमता नहीं है। (नोट: एक बार जब आप किसी ग्राहक को अपना कोड देते हैं, तो यह "उनका" कोड होता है।) नीचे कॉर्स को बंद करने से मदद नहीं मिलती है: लोग आसानी से एक गैर-वेब-आधारित टूल (या वेब-आधारित प्रॉक्सी) लिख सकते हैं जो जोड़ता है अपने सिस्टम का दुरुपयोग करने के लिए सही CORS हैडर।

बड़ी समस्या यह है कि आप विभिन्न उपयोगकर्ताओं के बीच अंतर नहीं कर सकते। आप एक उपयोगकर्ता को उसकी फ़ाइलों को सूचीबद्ध / एक्सेस करने की अनुमति नहीं दे सकते, लेकिन दूसरों को ऐसा करने से रोक सकते हैं। यदि आप दुर्व्यवहार का पता लगाते हैं, तो कुंजी को बदलने के अलावा आप इसके बारे में कुछ भी नहीं कर सकते हैं। (कौन सा हमलावर संभवत: बस फिर से मिल सकता है।)

आपका सबसे अच्छा दांव अपने जावास्क्रिप्ट क्लाइंट के लिए एक कुंजी के साथ "IAM उपयोगकर्ता" बनाना है। केवल इसे केवल एक बाल्टी तक लिखने के लिए पहुँच दें। (लेकिन आदर्श रूप से, ListBucket ऑपरेशन को सक्षम न करें, जो हमलावरों के लिए इसे और अधिक आकर्षक बना देगा।)

यदि आपके पास एक सर्वर (यहां तक ​​कि $ 20 / माह में एक सरल माइक्रो उदाहरण) है, तो आप वास्तविक समय में दुरुपयोग की निगरानी / रोकथाम करते हुए अपने सर्वर पर कुंजियों पर हस्ताक्षर कर सकते हैं। सर्वर के बिना, आप जो सबसे अच्छा कर सकते हैं वह समय-समय पर दुरुपयोग के बाद की निगरानी के लिए होता है। यहाँ मैं क्या करूँगा:

1) समय-समय पर उस IAM उपयोगकर्ता के लिए कुंजी घुमाएँ: हर रात, उस IAM उपयोगकर्ता के लिए एक नई कुंजी उत्पन्न करें, और सबसे पुरानी कुंजी को बदलें। चूंकि 2 कुंजी हैं, प्रत्येक कुंजी 2 दिनों के लिए मान्य होगी।

2) S3 लॉगिंग सक्षम करें, और हर घंटे लॉग डाउनलोड करें। "बहुत सारे अपलोड" और "बहुत सारे डाउनलोड" पर अलर्ट सेट करें। आप कुल फ़ाइल आकार और अपलोड की गई फ़ाइलों की संख्या दोनों की जांच करना चाहेंगे। और आप दोनों वैश्विक योगों की निगरानी करना चाहेंगे, और प्रति-आईपी पते के योग (कम सीमा के साथ) भी।

ये चेक "सर्वर रहित" हो सकते हैं क्योंकि आप उन्हें अपने डेस्कटॉप पर चला सकते हैं। (यानी S3 सभी काम करता है, ये प्रक्रियाएँ बस वहाँ आपको आपके S3 बाल्टी के दुरुपयोग के लिए सचेत करती हैं ताकि आपको महीने के अंत में एक विशाल AWS बिल न मिले ।)

स्वीकृत उत्तर में अधिक जानकारी जोड़ते हुए, आप एडब्ल्यूएस सिग्नेचर संस्करण 4 का उपयोग करके कोड के एक रनिंग संस्करण को देखने के लिए मेरे ब्लॉग का संदर्भ ले सकते हैं।

यहाँ संक्षेप में बताएंगे:

जैसे ही उपयोगकर्ता अपलोड की जाने वाली फ़ाइल का चयन करता है, निम्न कार्य करें: 1. आवश्यक सर्वर जनरेट करने के लिए सेवा शुरू करने के लिए वेब सर्वर पर कॉल करें

2. इस सेवा में, अस्थायी क्रेडेंशियल प्राप्त करने के लिए AWS IAM सेवा को कॉल करें

3. एक बार जब आपके पास क्रेडिट हो, तो एक बकेट पॉलिसी (बेस 64 एन्कोडेड स्ट्रिंग) बनाएं। फिर अंतिम हस्ताक्षर उत्पन्न करने के लिए अस्थायी गुप्त पहुंच कुंजी के साथ बाल्टी नीति पर हस्ताक्षर करें

4. यूआई में आवश्यक पैरामीटर वापस भेजें

5. एक बार यह प्राप्त हो जाने के बाद, एक HTML फॉर्म ऑब्जेक्ट बनाएं, आवश्यक पैरामेट्स सेट करें और इसे पोस्ट करें।

विस्तृत जानकारी के लिए, कृपया https://wordpress1763.wordpress.com/2016/10/03/browser-based-upload-aws-signature-version-4/ देखें।

हस्ताक्षर बनाने के लिए, मुझे अपनी गुप्त कुंजी का उपयोग करना चाहिए। लेकिन सभी चीजें क्लाइंट साइड पर होती हैं, इसलिए, गुप्त कुंजी को आसानी से पृष्ठ स्रोत से प्रकट किया जा सकता है (भले ही मैं अपने स्रोतों को बाधित / एन्क्रिप्ट करता हूं)।

यह वह जगह है जहाँ आपको गलत समझा गया है। डिजिटल हस्ताक्षर का उपयोग करने का बहुत कारण है ताकि आप अपनी गुप्त कुंजी को प्रकट किए बिना किसी चीज़ को सही रूप में सत्यापित कर सकें। इस मामले में डिजिटल हस्ताक्षर का उपयोग उपयोगकर्ता को फॉर्म पोस्ट के लिए आपके द्वारा निर्धारित नीति को संशोधित करने से रोकने के लिए किया जाता है।

डिजिटल हस्ताक्षर जैसे कि यहां वेब के चारों ओर सुरक्षा के लिए उपयोग किया जाता है। यदि कोई (NSA?) वास्तव में उन्हें तोड़ने में सक्षम था, तो आपके S3 बाल्टी की तुलना में उनके पास बहुत बड़े लक्ष्य होंगे :)

मैंने जावास्क्रिप्ट ब्राउज़र से AWS S3 में फाइलें अपलोड करने और S3 बाल्टी में सभी फाइलों को सूचीबद्ध करने के लिए एक सरल कोड दिया है।

कदम:

1. Create IdentityPoolId http://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html बनाने का तरीका जानने के लिए

   2. गोटो एस 3 के कंसोल पेज और बाल्टी गुणों से कॉर्स कॉन्फ़िगरेशन खोलें और उस में एक्सएमएल कोड का पालन करें।

      <?xml version="1.0" encoding="UTF-8"?>
      <CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
       <CORSRule>    
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>PUT</AllowedMethod>
        <AllowedMethod>DELETE</AllowedMethod>
        <AllowedMethod>HEAD</AllowedMethod>
        <AllowedHeader>*</AllowedHeader>
       </CORSRule>
      </CORSConfiguration>

   3. निम्न कोड वाली HTML फ़ाइल बनाएँ, क्रेडेंशियल्स को बदलें, ब्राउज़र में फ़ाइल खोलें और आनंद लें।

      <script type="text/javascript">
       AWS.config.region = 'ap-north-1'; // Region
       AWS.config.credentials = new AWS.CognitoIdentityCredentials({
       IdentityPoolId: 'ap-north-1:*****-*****',
       });
       var bucket = new AWS.S3({
       params: {
       Bucket: 'MyBucket'
       }
       });
      
       var fileChooser = document.getElementById('file-chooser');
       var button = document.getElementById('upload-button');
       var results = document.getElementById('results');
      
       function upload() {
       var file = fileChooser.files[0];
       console.log(file.name);
      
       if (file) {
       results.innerHTML = '';
       var params = {
       Key: n + '.pdf',
       ContentType: file.type,
       Body: file
       };
       bucket.upload(params, function(err, data) {
       results.innerHTML = err ? 'ERROR!' : 'UPLOADED.';
       });
       } else {
       results.innerHTML = 'Nothing to upload.';
       }    }
      </script>
      <body>
       <input type="file" id="file-chooser" />
       <input type="button" onclick="upload()" value="Upload to S3">
       <div id="results"></div>
      </body>

यदि आपके पास कोई सर्वर साइड कोड नहीं है, तो आप सुरक्षा क्लाइंट पक्ष पर अपने जावास्क्रिप्ट कोड तक पहुंच की सुरक्षा पर निर्भर करते हैं (यानी हर व्यक्ति जिसके पास कोड कुछ अपलोड कर सकता है)।

इसलिए, मैं आपको एक विशेष S3 बाल्टी बनाने की सिफारिश करूंगा, जो सार्वजनिक लेखन योग्य है (लेकिन पठनीय नहीं है), इसलिए आपको क्लाइंट पक्ष पर किसी भी हस्ताक्षरित घटकों की आवश्यकता नहीं है।

बाल्टी नाम (एक GUID उदा) दुर्भावनापूर्ण अपलोड के खिलाफ आपका एकमात्र बचाव होगा (लेकिन एक संभावित हमलावर डेटा को स्थानांतरित करने के लिए आपकी बाल्टी का उपयोग नहीं कर सकता है, क्योंकि यह केवल उसे लिखा गया है)

यहां बताया गया है कि आप नोड और सर्वर रहित का उपयोग करके एक नीति दस्तावेज़ कैसे बनाते हैं

"use strict";

const uniqid = require('uniqid');
const crypto = require('crypto');

class Token {

    /**
     * @param {Object} config SSM Parameter store JSON config
     */
    constructor(config) {

        // Ensure some required properties are set in the SSM configuration object
        this.constructor._validateConfig(config);

        this.region = config.region; // AWS region e.g. us-west-2
        this.bucket = config.bucket; // Bucket name only
        this.bucketAcl = config.bucketAcl; // Bucket access policy [private, public-read]
        this.accessKey = config.accessKey; // Access key
        this.secretKey = config.secretKey; // Access key secret

        // Create a really unique videoKey, with folder prefix
        this.key = uniqid() + uniqid.process();

        // The policy requires the date to be this format e.g. 20181109
        const date = new Date().toISOString();
        this.dateString = date.substr(0, 4) + date.substr(5, 2) + date.substr(8, 2);

        // The number of minutes the policy will need to be used by before it expires
        this.policyExpireMinutes = 15;

        // HMAC encryption algorithm used to encrypt everything in the request
        this.encryptionAlgorithm = 'sha256';

        // Client uses encryption algorithm key while making request to S3
        this.clientEncryptionAlgorithm = 'AWS4-HMAC-SHA256';
    }

    /**
     * Returns the parameters that FE will use to directly upload to s3
     *
     * @returns {Object}
     */
    getS3FormParameters() {
        const credentialPath = this._amazonCredentialPath();
        const policy = this._s3UploadPolicy(credentialPath);
        const policyBase64 = new Buffer(JSON.stringify(policy)).toString('base64');
        const signature = this._s3UploadSignature(policyBase64);

        return {
            'key': this.key,
            'acl': this.bucketAcl,
            'success_action_status': '201',
            'policy': policyBase64,
            'endpoint': "https://" + this.bucket + ".s3-accelerate.amazonaws.com",
            'x-amz-algorithm': this.clientEncryptionAlgorithm,
            'x-amz-credential': credentialPath,
            'x-amz-date': this.dateString + 'T000000Z',
            'x-amz-signature': signature
        }
    }

    /**
     * Ensure all required properties are set in SSM Parameter Store Config
     *
     * @param {Object} config
     * @private
     */
    static _validateConfig(config) {
        if (!config.hasOwnProperty('bucket')) {
            throw "'bucket' is required in SSM Parameter Store Config";
        }
        if (!config.hasOwnProperty('region')) {
            throw "'region' is required in SSM Parameter Store Config";
        }
        if (!config.hasOwnProperty('accessKey')) {
            throw "'accessKey' is required in SSM Parameter Store Config";
        }
        if (!config.hasOwnProperty('secretKey')) {
            throw "'secretKey' is required in SSM Parameter Store Config";
        }
    }

    /**
     * Create a special string called a credentials path used in constructing an upload policy
     *
     * @returns {String}
     * @private
     */
    _amazonCredentialPath() {
        return this.accessKey + '/' + this.dateString + '/' + this.region + '/s3/aws4_request';
    }

    /**
     * Create an upload policy
     *
     * @param {String} credentialPath
     *
     * @returns {{expiration: string, conditions: *[]}}
     * @private
     */
    _s3UploadPolicy(credentialPath) {
        return {
            expiration: this._getPolicyExpirationISODate(),
            conditions: [
                {bucket: this.bucket},
                {key: this.key},
                {acl: this.bucketAcl},
                {success_action_status: "201"},
                {'x-amz-algorithm': 'AWS4-HMAC-SHA256'},
                {'x-amz-credential': credentialPath},
                {'x-amz-date': this.dateString + 'T000000Z'}
            ],
        }
    }

    /**
     * ISO formatted date string of when the policy will expire
     *
     * @returns {String}
     * @private
     */
    _getPolicyExpirationISODate() {
        return new Date((new Date).getTime() + (this.policyExpireMinutes * 60 * 1000)).toISOString();
    }

    /**
     * HMAC encode a string by a given key
     *
     * @param {String} key
     * @param {String} string
     *
     * @returns {String}
     * @private
     */
    _encryptHmac(key, string) {
        const hmac = crypto.createHmac(
            this.encryptionAlgorithm, key
        );
        hmac.end(string);

        return hmac.read();
    }

    /**
     * Create an upload signature from provided params
     * https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#signing-request-intro
     *
     * @param policyBase64
     *
     * @returns {String}
     * @private
     */
    _s3UploadSignature(policyBase64) {
        const dateKey = this._encryptHmac('AWS4' + this.secretKey, this.dateString);
        const dateRegionKey = this._encryptHmac(dateKey, this.region);
        const dateRegionServiceKey = this._encryptHmac(dateRegionKey, 's3');
        const signingKey = this._encryptHmac(dateRegionServiceKey, 'aws4_request');

        return this._encryptHmac(signingKey, policyBase64).toString('hex');
    }
}

module.exports = Token;

उपयोग की गई कॉन्फ़िगरेशन ऑब्जेक्ट SSM पैरामीटर स्टोर में संग्रहीत है और इस तरह दिखता है

{
    "bucket": "my-bucket-name",
    "region": "us-west-2",
    "bucketAcl": "private",
    "accessKey": "MY_ACCESS_KEY",
    "secretKey": "MY_SECRET_ACCESS_KEY",
}

यदि आप तृतीय पक्ष सेवा का उपयोग करने के इच्छुक हैं, तोमाण 0.com इस एकीकरण का समर्थन करता है। SSL0 सेवा एक्सचेंज AWS अस्थायी सत्र टोकन के लिए 3rd पार्टी SSO सेवा प्रमाणीकरण की अनुमति देता है।

देखें: https://github.com/auth0-samples/auth0-s3-sample/
और ओड़िआ प्रलेखन।