如何在 S3 中存储数据并允许用户使用 rails API / iOS 客户端以安全的方式访问？

Question

我是编写 Rails 和 API 的新手。我需要一些有关 S3 存储解决方案的帮助。这是我的问题。

我正在为 iOS 应用程序编写一个 API，用户在 iOS 上使用 Facebook API 登录。服务器根据 Facebook 向 iOS 用户发出的令牌验证用户，并发出临时会话令牌。从这一点开始，用户需要下载存储在 S3 中的内容。此内容仅属于用户及其朋友的子集。该用户可以向 S3 添加更多内容，这些内容可以被同一群人访问。我想这类似于将文件附加到 Facebook 群组...

用户可以通过 2 种方式与 S3 交互...将其留给服务器或让服务器发出临时 S3 令牌（不确定此处的可能性），用户可以直接点击内容 URL到 S3。我发现这个问题是关于方法的，但是，它确实过时了（2 年前）：Architectural and design question about uploading photos from iPhone app and S3

所以问题：

• 在颁发临时令牌时，是否有办法限制用户仅访问 S3 上的某些内容？我怎样才能做到这一点？假设有...比如说 100,000 或更多用户。
• 让 iOS 设备直接拉出这些内容是个好主意吗？
• 还是应该让服务器控制所有内容的传递（这当然解决了安全问题）？这是否意味着我必须先将所有内容下载到服务器，然后再将其传递给连接的用户？
• 如果您了解 rails...我可以使用回形针和 aws-sdk gem 来实现这种设置吗？

对多个问题深表歉意，感谢您对问题的任何见解。谢谢:)

Answer 1

使用aws-sdk gem，您可以通过调用url_for获取任何S3对象的临时签名url：

s3 = AWS::S3.new(
  :access_key_id => 1234,
  :secret_access_key => abcd
)
object = s3.buckets['bucket'].objects['path/to/object']
object.url_for(:get, { :expires => 20.minutes.from_now, :secure => true }).to_s

这将为您提供一个仅用于 S3 中该对象的已签名临时使用 URL。它会在 20 分钟后过期（在本例中），它只对那个对象有效。

如果您有很多客户需要的对象，您将需要发布大量签名 URL。

或者应该让服务器控制所有内容传递（这当然解决了安全问题）？这是否意味着我必须先将所有内容下载到服务器，然后再将其传递给连接的用户？

请注意，这并不意味着服务器需要下载每个对象，它只需要验证并授权特定客户端访问 S3 中的特定对象。

来自亚马逊的 API 文档： https://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html#RESTAuthenticationQueryStringAuth

Answer 2

以上答案使用旧的 aws-sdk-v1 gem 而不是新的 aws-sdk-resources 版本 2。

新方法是：

aws_resource = Aws::S3::Resource::new
aws_resource.bucket('your_bucket').object('your_object_key').presigned_url(:get, expires_in: 1*20.minutes)

your_object_key 是文件的路径。如果你需要查看它，你可以使用类似的东西：

s3 = Aws::S3::Client::new
keys = []
s3.list_objects(bucket: 'your_bucket', prefix: 'your_path').contents.each { |e| 
  keys << e.key
}

这些信息非常难以挖掘，我几乎只是放弃并使用了较旧的宝石。

参考

http://docs.aws.amazon.com/sdkforruby/api/Aws/S3/Object.html#presigned_url-instance_method