对象存储OSS使用AccessKeyId及AccessKeySecret对称加密的方法来验证某个请求的发送者身份。

说明
  • AccessKeyId用于标示用户。
  • AccessKeySecret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥,且AccessKeySecret必须保密。

AccessKey根据所属账号的类型分为以下三种:

  • 阿里云账户AccessKey:阿里云账号提供的AccessKey拥有所属资源的全部操作权限
  • RAM账户AccessKey:RAM账户由阿里云账号授权生成,所拥有的AccessKey拥有对特定资源限定的操作权限
  • STS临时访问凭证:由阿里云账号或RAM账号生成,所拥有的AccessKey在限定时间内拥有对特定资源限定的操作权限。超出限定时间后STS临时访问权限无效。

详情请参考OSS产品文档中访问身份验证

当您想以个人身份向OSS发送请求时,有以下三个步骤:
  1. 您需要将发送的请求按照OSS指定的格式生成签名字符串,详情请参见在Header中包含签名
  2. 使用AccessKeySecret对签名字符串进行加密产生验证码。
  3. OSS收到请求以后,会通过AccessKeyId找到对应的AccessKeySecret,以同样的方法提取签名字符串和验证码,如果计算出来的验证码和提供的一致,即判断为有效请求;否则,OSS将拒绝处理此次请求,并返回HTTP 403错误。