首先，作为一个一年多码农经验的我，这是第一次接触oss。说起来也挺好不意思的。毕竟上一份工作真的小外包。一些第三方调用等都已经封装好了的。而且都是小项目，用到oss也就存存用户头像啊，用户简介里的照片啊等等的。也不涉及什么需要保密的。所以大多数项目都是前端直接调用oss。压根不经过后端。别管什么安全不安全的，起码简单方便开发快是真的。

然后这几天接触oss，只能说遇到了一些不能算是坑的坑。在这里吐槽一下，从老板指示说让oss在后端授权前端才能调用开始，我便开始上网查阅资料。看了看阿里的文档，觉得也没多么复杂，所以就没放在心上。直到昨天真的打算把这个功能落实在代码上了，于是跟老板问了oss的账号和密码。却不料老板给发来一个文档，其中各种图片的保存路径的划分就不说了。最主要的账号是参数的形式发给我的。其中包括AccessKeyID，AccessKeySecret，RoleArn，BucketName，Endpoint，TokenExpireTime。这五个。好的吧，兴许人家阿里账号上有着什么什么重要又私密的东西，给这些参数也ok吧。毕竟看官方文档用到的数据也都在了。

好的，开始实践！我有多信心满满最后进坑摔得就有多惨。按照阿里官方文档搭demo。然后我可能也是心大，直接就搭了临时授权的demo。毕竟这也是一年多经验带来的自信，觉得一个三方软件的使用肯定不会做的多难。问题出就出在这了。demo复制粘贴添添改改删删。。于是跑起来了~~~这里要介绍一些oss的知识：

oss的授权访问分为两种：

使用STS进行临时授权：

STS的优势如下：

您无需透露您的长期密钥（AccessKey）给第三方应用，只需生成一个访问令牌并将令牌交给第三方应用。您可以自定义这个令牌的访问权限及有效期限。

您无需关心权限撤销问题，访问令牌过期后自动失效。

使用签名URL进行临时授权：

生成签名URL

您可以将生成的签名URL提供给访客进行临时访问。生成签名URL时，您可以指定URL的过期时间，来限制访客的访问时长。

官方文档写的很清楚，不过写的sts再好，架不住签名url授权看起来比较眼熟，所以我选择了使用签名URL进行临时授权；签名url临时授权是分请求的。get的url获取最简单：

// Endpoint以杭州为例，其它Region请按实际情况填写。

String endpoint ="http://oss-cn-hangzhou.aliyuncs.com";

// 阿里云主账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维，请登录 https://ram.console.aliyun.com 创建RAM账号。

String accessKeyId ="<yourAccessKeyId>";//

String accessKeySecret ="<yourAccessKeySecret>";

String bucketName ="<yourBucketName>";

String objectName ="<yourObjectName>";//因为这个我当时没有太看明白，所以特意写个注释，万一有和我一样傻的呢。这个是你文件的名字。因为get是只能读取，所以这里就是你想让访客读取的那个文件名。在put里就是你想保存进oss取的名字。

// 创建OSSClient实例。

OSSClient ossClient =newOSSClient(endpoint, accessKeyId, accessKeySecret);

// 设置URL过期时间为1小时。

Date expiration =new Date(new Date().getTime() +3600*1000);

// 生成以GET方法访问的签名URL，访客可以直接通过浏览器访问相关内容。

URL url = ossClient.generatePresignedUrl(bucketName, objectName, expiration);

// 关闭OSSClient。ossClient.shutdown();

但是其功能只是让访客可以直接通过浏览器访问相关内容。因为我们要实现的是前端存图片，所以这个就pass掉了。不过只要按照要求配置是没问题的。现在的我已经做过demo了。一次跑通。

如果说亲们运行得到的url有问题的话，可以把错误复制粘贴百度一下。几乎都能查得到。我记得阿里官方手册也专门有一个对各种错误的解释的页面。

https://error-center.aliyun.com/status/product/Oss

然后继续讲我遇到的错误：

<Code>SignatureDoesNotMatch</Code>

    <Message>The request signature we calculated does not match the signature you provided. Check your key and signing method.</Message>

    <RequestId>5D16D23D1DE99D87A3686758</RequestId>

    <HostId>our-shanghai-cer.oss-cn-shanghai.aliyuncs.com</HostId>

    <OSSAccessKeyId>LTAIisi3C6MHfTux</OSSAccessKeyId>

    <SignatureProvided>+DaLfan2W/V+ZNJ/bOFECwT0jBY=</SignatureProvided>

    <StringToSign>GET

一直报这个错，百度n次都说让我检查签名和key之类的。我也是复制粘贴手打，因为百度上很多说是不是keyId上有空格啦什么的。但是各种没用。问群里大神，问贴吧大佬。整整一下午到晚上八点多都在解决这个问题~~知道回家洗完澡还在想能是什么原因。今早上班，在群里大佬的提点下开始怀疑老板给的参数（一开始是真的没想到）。于是做了一个最简单的直传demo。ok，还是报错。而且这次的报错很明确。

[ErrorCode]: AccessDenied

[RequestId]: 5D1724AA94911CA42A5668FD

[HostId]: our-shanghai-cer.oss-cn-shanghai.aliyuncs.com

[ResponseError]:

<?xml version="1.0" encoding="UTF-8"?>

<Error>

  <Code>AccessDenied</Code>

  <Message>The bucket you access does not belong to you.</Message>

  <RequestId>5D1724AA94911CA42A5668FD</RequestId>

  <HostId>our-shanghai-cer.oss-cn-shanghai.aliyuncs.com</HostId>

</Error>

看到这没跑了~~就是老板给的参数是错了，别管我心理多少头草泥马在奔跑了~反正我逝去的一天青春也没多值钱。继续往下搞的前提问到能用的参数啊，所以找老板要参数。问账号是多少（因为我们老板并不是技术，只能说一知半解，所以有点不敢信他的参数了）。结果过了n久，踌躇的给我发来了一个账号和口令。我猜了一会儿试了一会儿最终登陆成功，是个阿里云的子账号。ok吧，别管我心理舒服不舒服的，拿着人家工资呢。我自己去建立key然后保存secert。这回又搭起了demo。再也不敢一次性做最终目的了。从直传 开始测试，而且是一步一测试：

public class Demo {

private static final String ENDPOINT = "oss-cn-shanghai.aliyuncs.com";//根据你们自己的情况填写

private static final String ACCESSKEYID = "你的keyId";

private static final String ACCESSKEYSECRET = "你的keySecert";

private static final String BUCKETNAME = "你的bucketName";

public static void main(String[] args) {

OSS ossClient = new OSSClient(ENDPOINT, ACCESSKEYID, ACCESSKEYSECRET);//创建一个oss连接对象

//判断是否有此工作空间，主要是我都对参数不信任了~~哎~~小心点不会错

 if (!ossClient.doesBucketExist(BUCKETNAME)) {

System.out.println("没有这个bucketName");

}else {

  // 上传内容到指定的存储空间（bucketName）并保存为指定的文件名称（objectName）。

        String content = "测试不过吃键盘";

//因为我这里就是个demo，所以随便传的字符串。别的格式不一样的。官方手册很清楚

        ossClient.putObject(BUCKETNAME, "测试1号", new ByteArrayInputStream(content.getBytes()));

        ossClient.shutdown();

}     }}

然后运行后，我去oss里面查，确实保存进去了，松了一口气的感觉。卡了我差不多一天半差点对自己丧失信心了。这个成功是信心的找回。然后也说句题外话，有时候确实会因为莫名其妙非的原因就卡一段时间。心态要好，别烦躁发怒，这是正常的。

直传成功了继续研究授权吧。因为深感url的坑。。所以决定还是走大众路线。。sts授权吧。于是开始查sts授权的demo。看了看官网的demo大体聊一下自己的理解。

sts就是通过oss官方加密生成一个临时的key和密钥。然后可以设置这个临时密钥的时间。

第一步导包。sts专属的两个：

<dependency>

<groupId>com.aliyun</groupId>

<artifactId>aliyun-java-sdk-sts</artifactId>

<version>3.0.0</version>

</dependency>

<dependency>

<groupId>com.aliyun</groupId>

<artifactId>aliyun-java-sdk-core</artifactId>

<version>[4.4.2,5.0.0)</version>

</dependency>

注意下，我们用oss有时候直传有时候只生成sts临时密钥。所以这个是不同的包的。而且子账号的授权也可能不一样。而oss好多权限真的很恶心（这里要声明一点，上文提到的老板给的账号不对就是这个原因。他给我的是生成sts的权限的账号而我用来直传和生成url。）。只能我我安全意识不够强吧。反正我是只觉得麻烦。

言归正传。如果想用来直传需要引入另一个包

<dependency>

<groupId>com.aliyun.oss</groupId>

<artifactId>aliyun-sdk-oss</artifactId>

<version>2.8.3</version>

</dependency>

直传和生成临时url上文已经讲完了这里就不多话了。继续说怎么生成临时sts。我直接上代码：

public ResultBean getSTS() {

try {

// 构造 default profile（参数留空，无需添加 region ID）

IClientProfile profile = DefaultProfile.getProfile("", accessKeyId, accessKeySecret);

// 用 profile 构造 client

DefaultAcsClient client = new DefaultAcsClient(profile);

final AssumeRoleRequest request = new AssumeRoleRequest();

request.setSysEndpoint(endpoint);

request.setSysMethod(MethodType.POST);

request.setRoleArn(roleArn);

request.setRoleSessionName(roleSessionName);

request.setPolicy(policy); // Optional

final AssumeRoleResponse response = client.getAcsResponse(request);

return Tools.result(200, "获取sts临时凭证成功", response, true);

} catch (Exception e) {

LOG.info("Error Message: " + e.getMessage());

return Tools.result(500, "获取sts临时凭证失败", null, false);

}

}

敲黑板说一下几个参数：

！！！这里要敲黑板注意！！！注意endpoint这个参数！！就是"sts.aliyuncs.com"这个。其实也可以换成别的。但是跟你所认知的可能不一样。都是以sts开头的。官方文档有。如果不愿意写这个的亲们可以自己去官网查你对应的。

还要说一点roleSessionName这个参数。有的帖子上说可以不写之类的。但是我不知道是版本更新了还是咋的。反正现在的一定要写的。

 policy 这个参数是可以自定义。但是因为我是照着官方手册的demo改的。所以这个也就没改~~

protected static final Logger LOG = LoggerFactory.getLogger(OssUtil.class);

private final static String endpoint = "sts.aliyuncs.com";

private final static String accessKeyId = "我的keyId";

private final static String accessKeySecret = "i我的密钥";

private final static String roleArn = "这个可以在控制台查到";

private final static String roleSessionName = "这个也可以在控制台查到";

private final static String policy = "{\n" + "    \"Version\": \"1\", \n" + "    \"Statement\": [\n" + "        {\n"

+ "            \"Action\": [\n" + "                \"oss:*\"\n" + "            ], \n"

+ "            \"Resource\": [\n" + "                \"acs:oss:*:*:*\" \n" + "            ], \n"

+ "            \"Effect\": \"Allow\"\n" + "        }\n" + "    ]\n" + "}";

为啥给分开了呢。因为我刚刚提到了权限问题。上面哪个只能生成sts临时凭证。所以因为我还要直传。所以这是两个子账号。然后填写上也没啥特别的。

private final static String endpoint_upload = "oss-cn-shanghai.aliyuncs.com";

private final static String accessKeyId_upload = "我的keyid";

private final static String accessKeySecret_upload = "我的密钥";

private final static String bucketName_upload = "our-shanghai-cer";

反正用了两天的时间。oss起码暂时需要的功能都跑通了~~哎，不容易啊~~我感觉最大的坑就是各种权限~~~啧啧

好了好了有问题留言，欢迎纠错~~
喏，手打不易，大家动动小手分享转发点赞评论啥的~~~~