Node.js AWS SDK S3 生成预签名 URL

Question

Node.js AWS SDK S3 生成预签名 URL

node.jsamazon-web-servicesamazon-s3aws-sdk-js

178

我将使用NodeJS AWS SDK生成预签名的S3 URL。文档提供了一个生成预签名URL的示例。

这是我的准确代码（省略了敏感信息）：

const AWS = require('aws-sdk')

const s3 = new AWS.S3()
AWS.config.update({accessKeyId: 'id-omitted', secretAccessKey: 'key-omitted'})

// Tried with and without this. Since s3 is not region-specific, I don't
// think it should be necessary.
// AWS.config.update({region: 'us-west-2'})

const myBucket = 'bucket-name'
const myKey = 'file-name.pdf'
const signedUrlExpireSeconds = 60 * 5

const url = s3.getSignedUrl('getObject', {
    Bucket: myBucket,
    Key: myKey,
    Expires: signedUrlExpireSeconds
})

console.log(url)

生成的URL看起来像这样：

https://bucket-name.s3-us-west-2.amazonaws.com/file-name.pdf?AWSAccessKeyId=[access-key-omitted]&Expires=1470666057&Signature=[signature-omitted]

我将该URL复制到浏览器中，得到以下响应：

<Error>
  <Code>NoSuchBucket</Code>
  <Message>The specified bucket does not exist</Message>
  <BucketName>[bucket-name-omitted]</BucketName>
  <RequestId>D1A358D276305A5C</RequestId>
  <HostId>
    bz2OxmZcEM2173kXEDbKIZrlX508qSv+CVydHz3w6FFPFwC0CtaCa/TqDQYDmHQdI1oMlc07wWk=
  </HostId>
</Error>

我知道这个存储桶存在。当我通过AWS Web GUI导航到此项并双击它时，它会使用URL打开对象并正常工作：

https://s3-us-west-2.amazonaws.com/[bucket-name-omitted]/[file-name-omitted].pdf?X-Amz-Date=20160808T141832Z&X-Amz-Expires=300&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Signature=[signature-omitted]&X-Amz-Credential=ASIAJKXDBR5CW3XXF5VQ/20160808/us-west-2/s3/aws4_request&X-Amz-SignedHeaders=Host&x-amz-security-token=[really-long-key]

所以我认为我在使用SDK时一定做错了什么。

- Dustin

1

仔细检查您生成的URL。 NoSuchBucket 表示URL中显示的存储桶名称 https://>>>here<<<.s3-us-west-2.amazonaws.com 不存在。您的签名过程、策略、权限、密钥或秘密中没有任何内容可以生成此特定错误。 - Michael - sqlbot

8

文档示例的链接已经移至http://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/S3.html#getSignedUrl-property。 - Joël

@Dustin，如果ACCESS Key在URL中被暴露出来，那么安全性如何？并且每次函数调用时URL是否会改变？ - kailash yogeshwar

不安全将secretAccessKey放在公共场所，例如URL中，我相信URL每次都会更改。@kailashyogeshwar - Dustin

6

如果你和我一样来到这里却没有得到确切答案，那么这就是我所需要的内容。以上 URL 中每个都使用了不同的签名版本。在创建 S3 实例之前设置签名版本或在 S3 配置中设置它。new AWS.S3({ signatureVersion: 'v4' }) 会强制使用签名版本 4。这对于我来说是一个要求，因为我使用了 SSE KMS 加密对象。 - Eric E.

显示剩余3条评论

9个回答

23

由于这个问题非常流行，而最受欢迎的答案是说您的代码是正确的，但代码中有一些问题可能会导致令人沮丧的问题。因此，这里有一个可工作的代码。

    AWS.config.update({ 
        accessKeyId: ':)))',
        secretAccessKey: ':DDDD',
        region: 'ap-south-1',
        signatureVersion: 'v4'
    });

    const s3 = new AWS.S3()
    const myBucket = ':)))))'
    const myKey = ':DDDDDD'
    const signedUrlExpireSeconds = 60 * 5

    const url = s3.getSignedUrl('getObject', {
        Bucket: myBucket,
        Key: myKey,
        Expires: signedUrlExpireSeconds
    });

    console.log(url);

显著的区别在于更新配置后才创建s3对象，否则配置无效且生成的URL无法使用。

- Avinash

如果没有存储桶或密钥，而是一个完整的S3路径s3://bucket/..，这该怎么工作呢？不想手动解析各个部分。 - fIwJlxSzApHEZIl

在为上传到B2创建签名URL时，让我困惑的是我没有包括“signatureVersion”。B2仅支持“v4”。 - Moshe G

1

帮了我很多 - 谢谢！我只设置了accessKeyId，但没有设置secretAccessKey！ - Nick Wright

8

以下是生成S3中任何类型文件的预签名URL的完整代码，包括(put-object)。

如果您需要，可以使用Expire参数设置过期时间。
以下代码可以上传任何类型的文件，例如Excel（xlsx，pdf，jpeg）

    const AWS = require('aws-sdk');
    const fs = require('fs');
    const axios = require('axios');
    const s3 = new AWS.S3();
    const filePath = 'C:/Users/XXXXXX/Downloads/invoice.pdf';
    
    
    var params = {
        Bucket: 'testing-presigned-url-dev',
        Key: 'dummy.pdf',
        "ContentType": "application/octet-stream"
    };
    
    
    s3.getSignedUrl('putObject', params, function (err, url) {
        console.log('The URL is', url);
    
        fs.writeFileSync("./url.txt", url);
    
    
        axios({
            method: "put",
            url,
            data: fs.readFileSync(filePath),
            headers: {
                "Content-Type": "application/octet-stream"
            }
        })
            .then((result) => {
                console.log('result', result);
    
            }).catch((err) => {
                console.log('err', err);
    
            });
    
    });

- Siva Sumanth

2

对于我来说，我之前获取签名url所使用的IAM角色，在针对特定的bucket/object上缺少S3:GetObject权限，导致我收到了403错误。一旦我将此权限添加到IAM角色中，签名url便开始正常工作。

- AB37

2

我有一个使用案例，需要使用node.js从S3获取对象并将其下载到某个临时位置，然后将其作为附件提供给第三方服务！这是我的代码实现步骤：

从S3获取签名URL
进行REST调用以获取对象
将其写入本地位置

如果有相同的使用案例，以下链接可能会对你有所帮助：link；https://medium.com/@prateekgawarle183/fetch-file-from-aws-s3-using-pre-signed-url-and-store-it-into-local-system-879194bfdcf4

- Prateek G

1

在浏览了Google和Stack Overflow的所有答案和页面后，我找到了一个解决方案。以下解决方案是用TypeScript编写的。但是，对于Node.js也是相同的流程。

import * as AWS from 'aws-sdk';

const generatePresignedUrl: string = () => {

    const AWS_S3_PRESALE_BUCKET = process.env.AWS_S3_PRESALE_BUCKET;

    AWS.config.update({
        accessKeyId: process.env.ACCESS_KEY_ID,
        secretAccessKey: process.env.SECRET_ACCESS_KEY,
        region: 'us-west-2',
        signatureVersion: 'v4',
    });

    // if u wanna create a separate folder in s3 bucket, else u can skip this step.
    const folderType: string = 'folder';
    const Key: string = `${folderType}/filename.jpg`;

    const PARAMS = {
        Bucket: AWS_S3_PRESALE_BUCKET,
        Key,
        Expires: 60 * 10, // expires in 10 minutes
    };

    const s3 = new AWS.S3();
    const URL: string = await s3.getSignedUrlPromise('putObject', PARAMS);

    return URL;
};

- shiva

0

可能不是您正在寻找的答案，但事实证明我交换了AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY

对于未来的访客，您可能需要再次检查。

- scr2em

0

对于AWS JavaScript SDK V3

import { getSignedUrl } from '@aws-sdk/s3-request-presigner';
import { PutObjectCommand, PutObjectCommandInput, S3Client } from '@aws-sdk/client-s3';

const s3Client = new S3Client({ ...config, signatureVersion: 'v4' });

 async function generateUploadURL(fileName: string, fileType: string): Promise<string | null> {
    const params: PutObjectCommandInput = {
      Key: fileName,
      ContentType: fileType,
      Bucket: uploadBecket,
      Metadata: { 'Content-Type': fileType },
    };

    const command = new PutObjectCommand(params);
    const url = await getSignedUrl(s3Client, command, { expiresIn: 3600 });
    return url;
  }

- PRAVEEN KUMAR T

-1

尝试使用promise来调用这个函数。

const AWS = require("aws-sdk");
const s3 = new AWS.S3({
  accessKeyId: 'AK--------------6U',
  secretAccessKey: 'kz---------------------------oGp',
  Bucket: 'bucket-name'
});

const getSingedUrl = async () => {    
  const params = {
    Bucket: 'bucket_name',
    Key: 'file-name.pdf',
    Expires: 60 * 5
  };

  try {
    const url = await new Promise((resolve, reject) => {
      s3.getSignedUrl('getObject', params, (err, url) => {
        err ? reject(err) : resolve(url);
      });
    });
    console.log(url)
  } catch (err) {
    if (err) {
      console.log(err)
    }
  }
}


getSingedUrl()

- Ankit Kumar Rajpoot

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Reza Mousavi · Accepted Answer

达斯汀，

你的代码是正确的，需要再次检查以下内容:

您的存储桶访问策略。
通过API密钥对您的存储桶权限进行设置。
您的API密钥和密钥。
您的存储桶名称和键。