S3上传图像文件的安全问题

Question

我在读下面的教程：

https://devcenter.heroku.com/articles/s3-upload-node#uploading-directly-to-s3 

第一步是当用户选择图像

function s3_upload(){ 
    var s3upload = new S3Upload({ 
     file_dom_selector: '#files', 
     s3_sign_put_url: '/sign_s3', 
     onProgress: function(percent, message) { 
      // some code 
     }, 
     onFinishS3Put: function(public_url) { 
      // some cde 
     }, 
     onError: function(status) { 
      // somecode 
     } 
    }); 
} 

现在s3_sign_put_url指的是服务器端功能返回

app.get('/sign_s3', function(req, res){ 
... 
// calculates signature (signature variable) 
// sets expiration time (expires variable) 
var credentials = { 
    signed_request: url+"?AWSAccessKeyId="+AWS_ACCESS_KEY+"&Expires="+expires+"&Signature="+signature, 
    url: url 
}; 
... 
} 

如果我已经根据（AWS_SECRET_KEY）函数计算了签名，如下所示：

var signature = crypto.createHmac('sha1', AWS_SECRET_KEY).update(put_request).digest('base64'); 
signature = encodeURIComponent(signature.trim()); 
signature = signature.replace('%2B','+'); 

问题： 为什么我必须通过AWS_SECRET_KEY值作为凭据对象由s3_sign函数返回的一部分吗？为什么不是签名足以被退回？是不是这是一个安全问题？

Answer 1

你没有这样做。

返回的凭证包含AWS_ACCESS_KEY而不是AWS_SECRET_KEY。

访问密钥类似于用户名...... S3需要它，以便它知道谁创建了签名。由此，S3在内部查找相关的密钥，为请求创建一个签名，如果它与您生成的签名相同，并且提供的访问密钥与有权执行该操作的用户相关联，则它会成功。

访问密钥和密钥作为一对工作，并且不能合理地从另一个派生;访问密钥不被认为是私密的，而秘密密钥是。