[英]Laravel secure Amazon s3 bucket files
我正在使用 Amazon s3,但在这里我面临两个问题
1.我在提交表单时无法直接将文件上传到亚马逊服务器。我的意思是我必须将图像upload folder
到我的 PHP 服务器上的upload folder
,然后我必须从那里检索它们并将其上传到s3 server
。 当我们点击提交时,有没有办法将图像直接上传到s3
?
2.如果我在s3 put object
传递'public'
,那么我可以访问或查看文件,但如果我将其设为公开,则每个人都可以查看文件。 但是我需要保护所有文件并且只查看经过身份验证的用户。 任何人都可以建议我如何解决这个问题?
try {
$s3 = \Storage::disk('s3');
$s3->put($strFileName, file_get_contents($img_path.$strFileName), 'public');
} catch (Aws\Exception\S3Exception $e) {
echo "There was an error uploading the file.\n"+$e;
}
在提问之前,我已经阅读了许多来自 stackoverflow 的答案,但它并没有帮助我解决我的问题。 谢谢。
对于您的第一个问题,它可以直接将图像上传到 AWS S3。
$s3 = \Storage::disk('s3')->getDriver();
$s3->put($filePath, file_get_contents($file), array('ContentDisposition' => 'attachment; filename=' . $file_name . '', 'ACL' => 'public-read'));
您应该指定您的文件路径和您从表单中获得的文件。
1. 有没有办法在我们点击提交时直接上传图片
是的
如何:
您需要分两部分使用 JavaScript(使用 AJAX)来完成此操作;
a) 当用户点击“提交”时,您会捕获此事件,首先上传文件(参见http://docs.aws.amazon.com/AWSJavaScriptSDK/guide/browser-examples.html示例),然后 b) 然后提交通过 AJAX 处理表单并处理响应。
然而:
这允许用户上传任何内容并可能导致问题。 有一些提示(就在示例下方)可以创建 15 分钟(可变)的经过身份验证的 URL,但是如果用户花费的时间超过 15 分钟,或者尝试在 15 分钟内上传 100 个文件,或者上传图像文件以外的内容,会发生什么情况,或格式错误的图像文件等。
拉入您的服务器并验证它们是图像以及您需要的类型/大小,然后从服务器上传会更安全。
当然,如果这是一个简单的管理工具,并且您正在控制谁访问代码,那么就去做吧——希望您只上传您期望的内容。
2. 我需要保护所有文件并且只查看经过身份验证的用户
通过“经过身份验证的用户”:如果您的意思是“上传图像的用户”,那么 s3 本身不提供该功能,但 CloudFront 提供。 您可以发布预先授权的 URL 或签名 cookie: http : //docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-choosing-signed-urls-cookies.html
如果“经过身份验证的用户”是指上传文件的人,那么根据文档,如果没有访问底层客户端的权限,这在 Laravel 类中是不可能的。 默认情况下, public
和private
是您唯一的可见性选项,它们被转换为public-read
,但您需要authenticated-read
、 bucket-owner-read
或其他预设授权之一(参考: http : //docs.aws.amazon .com/AmazonS3/latest/dev/acl-overview.html#canned-acl )如果经过authenticated-read
或其他罐装 ACL 授权没有提供您需要的权限配置文件,您可以创建自己的(详细信息)同一页)。
解决方案是抓取底层客户端,然后直接做put-object。 (然后如果你走那么远,你也可以放弃 Laravel 库并引入 s3 并自己做这一切 - 然后你就可以完全控制一切)。
$client = $disk->getDriver()->getAdapter()->getClient();
$client->putObject([
'Bucket' => $bucket,
'Key' => $fileName,
'Body' => $fileBody,
'ACL' => 'authenticated-read' /* Or which ACL suits */
]);
我最近解决了这个问题。 首先是的,您可以直接上传到 s3,这是我用于获取有关此信息的一些信息: http : //docs.aws.amazon.com/AmazonS3/latest/dev/HTTPPOSTExamples.html
首先,您需要创建一个策略和签名服务器端以添加到您的 html 表单以上传文件。
$policy = base64_encode(json_encode([
"expiration" => "2100-01-01T00:00:00Z",
"conditions" => [
["bucket"=> "bucketname"],
["starts-with", '$key', "foldername"],
["acl" => "public-read"],
["starts-with", '$Content-Type', "image/"],
["success_action_status" => '201'],
]
]));
$signature = base64_encode(hash_hmac('sha1',$policy,getenv('S3_SECRET_KEY'),true));
现在在我的表单前端,我不使用提交按钮,您可以使用提交按钮,但您需要捕获提交并防止表单在上传完成之前实际提交。
当我们点击保存时,它会生成一个 md5(使用 npm 安装)文件名,这样文件名就不能真正被随机猜测,然后它使用 ajax 将文件上传到 S3。 完成后,它将文件数据和返回的 aws 数据放入隐藏输入中并提交表单。 它应该是这样的:
<form action="/post/url" method="POST" id="form">
<input type="text" name="other_field" />
<input type="file" class="form-control" id="image_uploader" name="file" accept="image/*" />
<input type="hidden" id="hidden_medias" name="medias" value="[]" />
</form>
<input type="button" value="save" id="save" />
<script>
$(document).ready(function(){
$('#save').click(function(){
uploadImage(function () {
$('#form').submit();
});
});
});
var uploadImage = function(callback) {
var file = $('#image_uploader')[0].files[0];
if(file !== undefined) {
var data = new FormData();
var filename = md5(file.name + Math.floor(Date.now() / 1000));
var filenamePieces = file.name.split('.');
var extension = filenamePieces[filenamePieces.length - 1];
data.append('acl',"public-read");
data.append('policy',"{!! $policy !!}");
data.append('signature',"{!! $signature !!}");
data.append('Content-type',"image/");
data.append('success_action_status',"201");
data.append('AWSAccessKeyId',"{!! getenv('S3_KEY_ID') !!}");
data.append('key',filename + '.' + extension);
data.append('file', file);
var fileData = {
type: file.type,
name: file.name,
size: file.size
};
$.ajax({
url: 'https://{bucket_name}.s3.amazonaws.com/',
type: 'POST',
data: data,
processData: false,
contentType: false,
success: function (awsData) {
var xmlData = new XMLSerializer().serializeToString(awsData);
var currentImages = JSON.parse($('#hidden_medias').val());
currentImages.push({
awsData: xmlData,
fileData: fileData
});
$('#hidden_medias').val(JSON.stringify(currentImages));
callback();
},
error: function (errorData) {
console.log(errorData);
}
});
}
};
</script>
监听提交的控制器然后解析来自该输入字段的 JSON 并创建一个 Media 实例(我创建的模型)并存储每个图像的awsData
和fileData
。
然后,而不是像这样将 html 图像标签指向 s3 文件:
<img src="https://{bucketname}.s3.amazonaws.com/filename.jpg" />
我做这样的事情:
<img src="/medias/{id}" />
然后路由可以通过普通的auth
中间件以及你在 Laravel 中需要做的所有事情。 最后,该路由指向执行此操作的控制器:
public function getResponse($id)
{
$media = Media::find($id);
return (new Response('',301,['Location' => $media->info['aws']['Location']]));
}
所以这只是简单地使用 301 重定向并将标头位置设置为实际的 aws 文件。 由于我们在将文件上传到 aws 时会生成一个 md5 文件名,因此每个文件名都是一个 md5,因此人们无法在存储桶中随机搜索 aws 文件。
您的问题的解决方案,我也在使用,但没有使用 laravel。
1. 要将任何文件直接上传到特定文件夹中的 Amazon AWS S3 Bucket,您可以这样做。
HTML
<form action="upload.php" enctype="multipart/form-data">
<input type="file" name="file" id="file" />
<button type="submit">Upload file</button>
</form>
PHP - 上传.php
包括 aws php sdk
require "vendor/autoload.php";
初始化 S3 客户端
$credentials = new Aws\Credentials\Credentials(
'<AWS ACCESS KEY>',
'<AWS ACCESS SECRET>'
);
$s3Client = Aws\S3\S3Client::factory(
[
'credentials' => credentials
'region' => 'us-east-1',
'version' => 'latest'
]
);
创建文件上传实体
$uploadEntity = array(
'Bucket' => <S3 Bucket Name>,
'Key' => '<Upload_Folder_If_Any>/<FileName>',
'Body' => fopen($_FILES['file']['tmp_name'], 'r+'),
//'ContentDisposition' => 'attachment; filename="<FileName>"' <-- If need to allow downloading
);
上传到 s3 存储桶
try {
// $result will be Aws\Result object
$result = $s3Client->putObject($uploadEntity);
} catch (Aws\S3\Exception\S3Exception $exception) {
// S3 Exception
}
2. 现在只将上传的文件提供给经过身份验证的用户
首先,您需要为 s3 存储桶创建私有存储桶策略。
存储桶策略- 要生成存储桶策略,您可以使用Policy Generator 。 使用它,您可以生成这样的策略。 复制自Improve.dk 网站
{
"Id": "Policy1319566876317",
"Statement": [
{
"Sid": "Stmt1319566860498",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::<BucketName>/*",
"Principal": {
"CanonicalUser": [
"<CannoicalUserId_of_OAI>"
]
}
}
]
}
其次,您需要设置 cloudfront s3 Bucket 的私有网络分发。 只有这样做,您才能仅通过aws 签名的 url 或签名的 cookie将您的内容提供给经过身份验证的用户
第三,要生成签名的 url,您将需要仅从 aws 控制台获取的pem文件。
生成签名网址
$cdnName = '<AWS CLOUDFRONT WEB DISTRIBUTION CDN>';
$assetName = '<UPLOAD_FOLDER_IF_ANY>/<FILENAME>';
$expiry = time() + 300; // 5 mins expiry time, ie. the signed url will be valid only for 5 mins
$cloudfront = CloudFrontClient::factory(array(
'credentials' => $credentials,
'region' => 'us-east-1',
'version' => 'latest'
));
// Use this for creating signed url
$signedUrl = $cloudFront->getSignedUrl([
'url' => $cdnName . '/' . $assetName,
'expires' => $expiry,
'private_key' => '/path/to/your/cloudfront-private-key.pem',
'key_pair_id' => '<cloudfront key pair id>'
]);
// Use this for signed cookie
$signedCookie = $cloudFront->getSignedCookie([
'url' => $cdnName . '/' . $assetName,
'expires' => $expiry,
'private_key' => '/path/to/your/cloudfront-private-key.pem',
'key_pair_id' => '<cloudfront key pair id>'
]);
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.