Cloudfront签名cookie和同时访问S3存储桶中多个路径

Question

Cloudfront签名cookie和同时访问S3存储桶中多个路径

6

我正在使用签名的Cookie来通过Cloudfront在我的基于Web的应用程序中限制访问S3存储桶中的内容。

例如，用户可以通过http://mycf.example.com/folder1访问s3://mys3/folder1中的内容。但他将无法访问同一级别的其他文件夹中的内容。

这里是我的问题：

用户使用我的Web应用程序访问位于s3://mys3/user1中的内容。他打开另一个浏览器窗口来访问同事的s3://mys3/buddy中的内容。第二个浏览器将下载新的签名Cookie并覆盖user1的那个。现在，如果他切换回第一个窗口，他将遇到“Access denied”问题。

如何避免这个问题的最佳实践？例如，是否可以在策略的URL中指定多个路径？

- Anthony Kong

2个回答

0

由于我曾经遇到过这个问题，也许这篇文章可以帮助其他人避免同样的痛苦。必须使用自定义cookie策略而不是通用的策略来支持多个目录。对于每个目录，您需要设置3个cookie（CloudFront-Key-Pair-Id、CloudFront-Policy和CloudFront-Signature）。对于每个目录，您需要使用相同名称但不同路径的3个cookie（对我来说，设置相同的cookie名称超过一次有点违反直觉，但我已经测试过它可以工作）。另一个困难的部分是您必须确保cloudfront域名与您的域名匹配，否则您无法传递cookie。在本地主机上，我使用host文件创建虚假的DNS查找进行测试（将127.0.0.1映射到myapp.com，而cloudfront必须使用类似cdn.myapp.com的某个域名）。

<dependencyManagement>
        <dependency>
            <groupId>software.amazon.awssdk</groupId>
            <artifactId>bom</artifactId>
            <version>2.16.60</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
        <dependency>
            <groupId>com.amazonaws</groupId>
            <artifactId>aws-java-sdk-bom</artifactId>
            <version>1.12.1</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

<dependency>
    <groupId>com.amazonaws</groupId>
    <artifactId>aws-java-sdk-cloudfront</artifactId>
</dependency>


@GetMapping("/cloudfront-cookies")
public String getCloudfrontCookies(HttpServletResponse resp) {
    
    String path1 =  "/protected/user1/";
    String path2 =  "/protected/user2/";
    
    setCookies(resp, path1, distributionDomain, "https");
    setCookies(resp, path2, distributionDomain, "https");
    return "success";
}

protected void setCookies(HttpServletResponse resp, String path, String domain, String proto) {
    Date start = new Date(System.currentTimeMillis());
    Date expiration = new Date(System.currentTimeMillis()+expirationSeconds*1000);
    InputStream is = this.getClass().getResourceAsStream(privateKeyFilePath);
    try {
        PrivateKey privateKey = RSA.privateKeyFromPKCS8(IOUtils.toByteArray(is));

        String url = proto + "://" + domain + path + "*";
        CookiesForCustomPolicy  cp =  CloudFrontCookieSigner.getCookiesForCustomPolicy(
                url,
                privateKey, 
                keyPairId,
                expiration, 
                start,
                null);
        
        Entry<String,String> kpi = cp.getKeyPairId();
        Entry<String,String> pol = cp.getPolicy();
        Entry<String,String> sig = cp.getSignature();
        
        resp.addCookie(getCookie(pol.getKey(),pol.getValue(),path,domain));
        resp.addCookie(getCookie(sig.getKey(),sig.getValue(),path,domain));
        resp.addCookie(getCookie(kpi.getKey(),kpi.getValue(),path,domain));         
        
    }catch(Exception e) {
        e.printStackTrace();
    }
    finally {
        try {is.close();} catch(IOException ignore) {}
    }

}    

protected Cookie getCookie(String key, String value, String path, String domain) {
    Cookie c = new Cookie(key,value);
    c.setPath(path); 
    return c;
}

一些属性是通过属性文件设置的，我从文件系统中获取证书。其余内容请遵循 AWS 签名 cookie 文档。

- George

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- imperalix · Accepted Answer

您不能在策略中指定多个路径。如果您的文件夹结构与通配符值不匹配，则可能需要为每个路径生成签名cookie并相应地对其进行范围限制。

您可以指定cookie适用于哪个路径。在设置Cookie时，将路径指定为/ user1以供第一个用户使用，并将路径指定为/ user2以供第二个用户使用。然后，当路径匹配时，您的浏览器将仅发送它们。

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-setting-signed-cookie-canned-policy.html#private-content-canned-policy-signature-cookies