【问题标题】:How to get Django to make some files public and media files private on AWS S3 (no 403 errors)?如何让 Django 在 AWS S3 上公开一些文件并将媒体文件设为私有(没有 403 错误)?
【发布时间】:2021-05-22 14:18:48
【问题描述】:

我在我的 Django 应用程序中使用 boto3django-storages 来提供来自 AWS S3 的文件。我希望我的静态文件是公开的,但其他文件是私有的。我已经让它有点工作但不完全。我的静态文件就像是私有的一样被提供,带有一个预签名的密钥。在我使用时的模板文件中:

<img src="{% static 'images/3d-house-nav-gray.png' %}">

而不是我想要的

<img src="https://mybucket.s3.amazonaws.com/static/images/3d-house-nav-gray.png">

我来了

<img id="home-img" src="https://mybucket.s3.amazonaws.com/static/images/3d-house-nav-gray.png?AWSAccessKeyId=AKIA1234564LQ7X4EGHK&amp;Signature=123456gIBTFlTQKCexLo3UJmoPs%3D&amp;Expires=1621693552">

当模板作为 HTTPResponse 的一部分从服务器呈现时,这实际上有效,但当像这样的图像被简单地包含为 .css 文件的一部分时,则无效。在这种情况下,我会得到:

Failed to load resource: the server responded with a status of 403 (Forbidden)

(我发现如果我复制并粘贴有问题的图像链接并将&amp;amp; 替换为&amp;,那么我可以访问,这又是一个谜。)

这是我配置 AWS 的方式:

AWS_ACCESS_KEY_ID = os.environ['AWS_ACCESS_KEY_ID']
AWS_SECRET_ACCESS_KEY = os.environ['AWS_SECRET_ACCESS_KEY']
AWS_STORAGE_BUCKET_NAME = 'mybucket'
AWS_S3_OBJECT_PARAMETERS = {
    'CacheControl': 'max-age=86400',
}
AWS_DEFAULT_ACL = None
AWS_LOCATION = 'static'
STATICFILES_STORAGE = 'myapp.storage_backends.StaticStorage'
DEFAULT_FILE_STORAGE = 'myapp.storage_backends.MediaStorage'
AWS_S3_URL = 'https://%s.s3.amazonaws.com' % AWS_STORAGE_BUCKET_NAME
STATIC_DIRECTORY = '/static/'
MEDIA_DIRECTORY = '/media/'
STATIC_URL = AWS_S3_URL + STATIC_DIRECTORY
MEDIA_URL = AWS_S3_URL + MEDIA_DIRECTORY

其中myapp.storage_backends.py 包含:

from storages.backends.s3boto3 import S3Boto3Storage

class MediaStorage(S3Boto3Storage):
    location = 'media'
    file_overwrite = False

class StaticStorage(S3Boto3Storage):
    location = 'static'
    file_overwrite = True

在 AWS S3 上,我的存储桶策略设置如下:

{
    "Version": "2012-10-17",
    "Id": "Policy1621539673651",
    "Statement": [
        {
            "Sid": "Stmt1621539665305",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::063896663644:user/mylogin"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::mybucket/*"
        },
        {
            "Sid": "Stmt1621539600741",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::mybucket/static/*"
        }
    ]
}

如何解决此问题以使某些文件(如 static/ 中的所有内容)未签名和公开,但其他文件已签名和私有?

【问题讨论】:

    标签: django amazon-s3 boto3 http-status-code-403 python-django-storages


    【解决方案1】:

    如果您查看 django-storages 的源代码,您会看到一个名为 S3StaticStorage未记录 类:

    class S3StaticStorage(S3Boto3Storage):
        """Querystring auth must be disabled so that url() returns a consistent output."""
        querystring_auth = False
    

    从这个子类化应该可以解决你的问题。

    【讨论】:

    • 这是一个重要的线索。使用 % 静态模板标签创建的 URL 现在没有我希望的额外签名内容(即 ?AWSAccessKeyId=AKIA 等),但现在 all 给我一个 403 错误,而不仅仅是.css 文件中的错误。我认为我的存储桶策略中的第二条语句将使所有 static/ 目录都可读。还有什么可能拒绝我的许可?感谢您对这些新手问题的帮助。
    猜你喜欢
    • 1970-01-01
    • 2022-11-14
    • 2019-12-22
    • 2012-03-03
    • 2016-02-21
    • 2016-11-04
    • 2019-01-17
    • 2013-06-11
    • 1970-01-01
    相关资源
    最近更新 更多