阿裡雲OSS實踐文件直傳基於服務端

Posted on by

前言

在日常開發中,客戶端上傳文件的一般流程是:客戶端向服務端發送文件,再由服務端將文件轉儲到專門的存儲服務器或雲計算廠商的儲存服務(例如阿裡雲 OSS)上,這樣做的一個弊端是上傳環節占用服務器的帶寬,個位數的並發上傳就能把帶寬占滿,從而導致用戶體驗下降。而如果直接將文件從客戶端直傳到第三方的存儲服務上,就可以避免這個問題。

本文以阿裡雲 OSS(Object Storage Service,對象存儲服務)為例,詳細說明將文件從客戶端直傳 OSS 的整體流程,並提供瞭完整的代碼演示。

優缺點

從“客戶端 — 服務器 — OSS”的傳輸模式,變更為“客戶端 — OSS”的模式,最大的好處是,省掉瞭上傳服務器的這一步,上傳效率更高,速度更快(相比較於一般服務器的帶寬,可以認為 OSS 的寬帶是“幾乎無限”的)。

當然該模式也有缺點,那就是增加瞭很多額外的開發工作量,主要包含 2 部分:

(1)服務端增加生成上傳 OSS 憑證的代碼。

(2)客戶端增加從服務端獲取上傳 OSS 憑證的代碼和對直傳 OSS 進行適配。

整體而言,直傳模式除瞭增加一點開發工作量以外,從架構層面,幾乎沒有任何缺點。

流程

實際上,整個流程非常簡單,包含瞭兩步:

(1)客戶端向服務端發送請求,獲取直傳 OSS 的憑證。

(2)客戶端向 OSS 上傳文件,並攜帶該憑證。

邏輯拆解

關於如何生成憑證(也叫簽名),可以閱讀官方文檔(help.aliyun.com/document_de…),但由於文檔創建時間比較早,對於新手很難看懂,本文將手把手給你演示整個過程。 ​

整個“生成上傳 OSS 憑證”過程,實際上做瞭這麼幾件事:

(1)上傳憑證鑒權由 policy 提供,根據私密配置生成這個 policy

(2)由於上傳環節脫離瞭開發者服務器,因此你可以在 policy 中定義各種限制,例如上傳最大體積、文件名等。

(3)將 policy 轉化為指定的格式。

代碼實現

我們先考慮將流程的每一步實現,然後再將流程代碼封裝成函數。

OSS 配置

首先定義 OSS 的配置文件,關於配置項的內容,可以參考文檔:help.aliyun.com/document_de…

/** OSS 配置項 */
const ossConfig = {
  bucket: 'xxxxxxxx',
  accessKeyId: 'xxxxxxxx',
  accessKeySecret: 'xxxxxxxx',
  /** OSS 綁定的域名 */
  url: 'xxxxxxxx',
}

policy 內容

對於 policy ,有很多配置項,我們先考慮生成“寫死”的模式,然後再優化為由函數參數傳入配置項。以下是一個最基礎的 policy 。 ​

有效期

首先定義一個有效時長(單位:毫秒),然後該憑證的有效截止時間則為“當前時間 + 有效時長”,最後需要轉化為 ISO 時間字符串格式。 ​

/** 有效時長:例如 4 小時 */
const timeout = 4 * 60 * 60 * 1000
/** 到期時間:當前時間 + 有效時間 */
const expiration = new Date(Date.now() + timeout).toISOString()

文件名

文件名建議使用 UUID(筆者習慣性使用去掉短橫線的 UUID),避免重復。 ​

import { v4 as uuidv4 } from 'uuid'
/** 隨機文件名(去掉短橫線的 uuid) */
const filename = uuidv4().replace(/-/gu, '')

一般建議按照不同的業務模塊,將文件劃分不同的目錄,例如這裡使用 file 目錄,那麼完整的 OSS 文件路徑則為: ​

/** 目錄名稱 */
const dirname = 'file'
/** 文件路徑 */
const key = dirname + '/' + filename

需要註意的是,文件路徑不能以 “/” 開頭(OSS 本身的要求)。 ​

將以上內容整合,就形成瞭 policy 文本,以下是一個基礎格式: ​

const policyText = {
  expiration: expiration,
  conditions: [
    ['eq', '$bucket', ossConfig.bucket],
    ['eq', '$key', key],
  ],
}

轉化 policy

policyText 轉化為 Base64 格式後,就是要求的 policy 瞭。

// 將 policyText 轉化為 Base64 格式
const policy = Buffer.from(JSON.stringify(policyText)).toString('base64')

然後對 policy 使用 OSS 密鑰使用 HmacSha1 算法簽名簽名。

import * as crypto from 'crypto'
// 使用 HmacSha1 算法簽名
const signature = crypto.createHmac('sha1', ossConfig.accessKeySecret).update(policy, 'utf8').digest('base64')

最後將上述流程中的相關字段返回給客戶端,即為“上傳憑證”。 ​

進一步分析

以上完整演示瞭整個流程,我們進一步分析,如何將其封裝為一個通用性的函數。 ​

(1)憑證的有效時長可以根據不同的業務模塊分別定義,於是做成函數配置項。

(2)目錄名稱也可以做成配置項。

(3) policy 還有更多的配置內容(見文檔 help.aliyun.com/document_de…),可以抽取一部分做成配置項,例如“允許上傳的最大體積”。

完整代碼

以下是封裝為“服務”的使用 Nest.js Web 框架的相關代碼,來源自筆者的線上項目(略有調整和刪改),供參考。

import { Injectable } from '@nestjs/common'
import * as crypto from 'crypto'
import { v4 as uuidv4 } from 'uuid'
export interface GenerateClientTokenConfig {
  /** 目錄名稱 */
  dirname: string
  /** 有效時間,單位:小時 */
  expiration?: number
  /** 上傳最大體積,單位:MB */
  maxSize?: number
}
/** 直傳憑證 */
export interface ClientToken {
  key: string
  policy: string
  signature: string
  OSSAccessKeyId: string
  url: string
}
export interface OssConfig {
  bucket: string
  accessKeyId: string
  accessKeySecret: string
  url: string
}
@Injectable()
export class OssService {
  private readonly ossConfig: OssConfig
  constructor() {
    this.ossConfig = {
      bucket: 'xxxxxxxx',
      accessKeyId: 'xxxxxxxx',
      accessKeySecret: 'xxxxxxxx',
      /** OSS 綁定的域名 */
      url: 'xxxxxxxx',
    }
  }
  /**
   * 生成一個可用於客戶端直傳 OSS 的調用憑證
   *
   * @param config 配置項
   *
   * @see [配置內容](https://help.aliyun.com/document_detail/31988.html#title-6w1-wj7-q4e)
   */
  generateClientToken(config: GenerateClientTokenConfig): ClientToken {
    /** 目錄名稱 */
    const dirname = config.dirname
    /** 有效時間:默認 4 小時 */
    const timeout = (config.expiration || 4) * 60 * 60 * 1000
    /** 上傳最大體積,默認 100M */
    const maxSize = (config.maxSize || 100) * 1024 * 1024
    /** 隨機文件名(去掉短橫線的 uuid) */
    const filename = uuidv4().replace(/-/gu, '')
    /** 文件路徑 */
    const key = dirname + '/' + filename
    /** 到期時間:當前時間 + 有效時間 */
    const expiration = new Date(Date.now() + timeout).toISOString()
    const { bucket, url, accessKeyId } = this.ossConfig
    const policyText = {
      expiration: expiration,
      conditions: [
        ['eq', '$bucket', bucket],
        ['eq', '$key', key],
        ['content-length-range', 0, maxSize],
      ],
    }
    // 將 policyText 轉化為 Base64 格式
    const policy = Buffer.from(JSON.stringify(policyText)).toString('base64')
    // 使用 HmacSha1 算法簽名
    const signature = crypto.createHmac('sha1', this.ossConfig.accessKeySecret).update(policy, 'utf8').digest('base64')
    return { key, policy, signature, OSSAccessKeyId: accessKeyId, url }
  }
}

在完整以上服務方法後,後續就可以在“控制器”層調用該方法用於分發上傳憑證,客戶端可直接使用該上傳憑證將文件直傳至 OSS 中。 ​

以上就是阿裡雲OSS實踐文件直傳基於服務端的詳細內容,更多關於OSS文件直傳服務端的資料請關註WalkonNet其它相關文章!

推薦閱讀: