0
我在读下面的教程:S3上传图像文件的安全问题
https://devcenter.heroku.com/articles/s3-upload-node#uploading-directly-to-s3
第一步是当用户选择图像
function s3_upload(){
var s3upload = new S3Upload({
file_dom_selector: '#files',
s3_sign_put_url: '/sign_s3',
onProgress: function(percent, message) {
// some code
},
onFinishS3Put: function(public_url) {
// some cde
},
onError: function(status) {
// somecode
}
});
}
现在s3_sign_put_url指的是服务器端功能返回
app.get('/sign_s3', function(req, res){
...
// calculates signature (signature variable)
// sets expiration time (expires variable)
var credentials = {
signed_request: url+"?AWSAccessKeyId="+AWS_ACCESS_KEY+"&Expires="+expires+"&Signature="+signature,
url: url
};
...
}
如果我已经根据(AWS_SECRET_KEY)函数计算了签名,如下所示:
var signature = crypto.createHmac('sha1', AWS_SECRET_KEY).update(put_request).digest('base64');
signature = encodeURIComponent(signature.trim());
signature = signature.replace('%2B','+');
问题: 为什么我必须通过AWS_SECRET_KEY值作为凭据对象由s3_sign函数返回的一部分吗?为什么不是签名足以被退回?是不是这是一个安全问题?