在Azure存储中访问私有Blob的URL

您可以为私有Blob生成SAS URL和令牌。以下是在Azure门户中手动生成此内容的过程，以测试概念。即使您的存储容器是私有的，它也会使用包含令牌的URL提供临时的、时间限制的文件访问权限。

在存储容器中单击文件，选择“生成SAS”选项卡，在右侧窗格中选择

这将生成一个令牌和一个包含该令牌的URL，如下所示：

您可以通过使用curl来测试将URL下载为文件。使用上面图像中显示的第二个URL（包含查询字符串中的完整令牌和其他参数），然后执行以下操作（重要提示：URL必须用双引号括起来）：

curl "<YOUR_URL>" --output myFileName.txt

提示 - 这也是将文件提供给Azure VM的好方法，如果您出于任何原因需要直接在VM上安装文件（我需要这样做来安装SSL证书），您可以生成URL然后使用curl在VM本身上下载文件。例如，首先使用Bastion或SSH连接到VM，然后使用curl将文件下载到某个地方。

这是关于从存储中读取Blob的API：

https://learn.microsoft.com/en-us/rest/api/storageservices/get-blob

没有URL参数可以传递访问密钥，只有头部值Authorization。因此，您可以手动进行请求，并将结果数据作为base64编码的图像添加。如果可能的话，我建议不要这样做。
您还必须意识到，通过将您的访问密钥传递给客户端，您实际上已经使您的Blob公开了。与匿名访问相比，您将使您的数据面临更大的风险，因为访问密钥允许执行更多操作。即使是在您的objective-c应用程序中，这也是正确的，尽管在那里它更加模糊不清。SAS是其中的一种选择-创建一个后端服务，为给定资源创建一组定义的SAS令牌。但是，这比简单地在某个地方混淆完整的访问密钥要花费更多的精力。
请参见“匿名用户可用的功能”：

https://learn.microsoft.com/en-us/azure/storage/blobs/storage-manage-access-to-resources

扩展@Chris Halcrow的观点。
我不得不在我的URL中添加了一些额外的参数(*)，例如ss=bfqt&srt=sco。
(*) 注意，SAS不是一个“键”，而是一组查询参数。 然后：

curl -X GET -H "x-ms-date: $(date -u)" "https://<ACCOUNT>.blob.core.windows.net/<PATH>/<FILENAME>?<SIGNATURE>"