阿里云 OSS 理解

一个可以进行上传、下载文件资源等操作，并可文件资源可管理的云存储服务器。
拥有可针对第三方用户分配RAM(子账号)，针对临时用户的STS模式的权限管理
一个提供用户权限、文件操作、日志管理的多功能管理平台

要实现功能

图床：上传图片文件，获取图片链接

账号理解

总账号：能够登录阿里云平台的账号，登录OSS控制台可以创建多个(有数量限制)存储空间,
RAM子用户：为安全问题，提供的子用户账号，由总账号创建
群组管理：可对子用户分组，由RAM子用户新建
角色管理：作为临时用户，不用管里AccessKey ID，必须是RAM子用户下才可以新建的角色

阿里云 OSS

需要开通OSS服务
需要创建存储空间（Bucket)
在阿里云OSS控制台网页可以管理文件和存储空间：上传、分享、删除

AccessKey ID、 Access Key Secret ID、 securityToken

总账号有AccessKey ID、 Access Key Secret ID，但通常不用来作为调用api用
RAM有AccessKey ID、 Access Key Secret ID，用来调用api用
securityToken通过调用api获取

授权获取凭证

OSSStsTokenCredentialProvider

1、凭证有效期1小时，需自行控制每30分钟刷新一次
2、获取方式一可由服务器向OSS服务器获取，客户端向服务器获取
3、获取方式二客户端向OSS服务器获取有效凭证
4、复杂在于[加签](https://help.aliyun.com/document_detail/28761.html?spm=a2c4g.11186623.6.682.6be85c73ggooSG),canonicalizedQueryString中的关键字字符串顺序必须是A~Z的顺序，官网遗漏的问题说明：OSSUtil中的encodeURL方法把%7E替换回了"~"，%2F替换回了"/",实际结果不需要把%2F替换回"/"
/// 返回要加签的字符串
fileprivate func getStringToSign(uuid: String, timestamp: String) -> String? {
    var stringToSign: String = "" // 用于计算签名的字符串
    var canonicalizedQueryString: String = "" // 规范化的请求字符串

    /// 拼接用来加签的字符串
    stringToSign.append("GET&%2F&") // 提交请求用的HTTP方法，比GET。 percentEncode(“/”)是按照1.b中描述的URL编码规则对字符“/”进行编码得到的值，即“%2F”
    // 下面的参数必须是这个顺序添加拼接
    canonicalizedQueryString.append("AccessKeyId=" + accessId.urlEncoded) // 阿里云颁发给用户的访问服务器所用的密钥ID
    canonicalizedQueryString.append("&Action=" + "AssumeRole".urlEncoded)
    canonicalizedQueryString.append("&Format=" + "JSON".urlEncoded) // 参数为string类型，确定返回数据类型, 可选默认为XML
    canonicalizedQueryString.append("&RoleArn=" + arn.urlEncoded)
    canonicalizedQueryString.append("&RoleSessionName=" + "client".urlEncoded)
    canonicalizedQueryString.append("&SignatureMethod=" + "HMAC-SHA1".urlEncoded)
    canonicalizedQueryString.append("&SignatureNonce=" + uuid.urlEncoded)
    canonicalizedQueryString.append("&SignatureVersion=" + "1.0".urlEncoded)
    canonicalizedQueryString.append("&Timestamp=" + timestamp.urlEncoded)
    canonicalizedQueryString.append("&Version=" + "2015-04-01".urlEncoded) // API版本号，日期形式：YYYY-MM-DD

    canonicalizedQueryString = canonicalizedQueryString.urlEncoded
    stringToSign.append(canonicalizedQueryString)
    return stringToSign
}
/// 加签：密钥 = secretKey + "&", 加签方式： HmacSHA1 + Base64
let sign = OSSUtil.calBase64Sha1(withData: stringToSign, withSecret: secretKey + "&")

/// 返回GET方法的 Query String 参数
fileprivate func getQueryString(uuid: String, timestamp: String, sign: String) -> String? {
    var queryString: String = ""

    /// 公共参数
    queryString.append("Format=" + "JSON".urlEncoded) // 返回值的类型，支持JSON与XML，默认为XML
    queryString.append("&Version=" + "2015-04-01".urlEncoded) // API版本号，为日期形式：YYYY-MM-DD，本版本对应为2015-04-01
    queryString.append("&AccessKeyId=" + accessId.urlEncoded) // 阿里云颁发给用户的访问服务所用的密钥ID
    queryString.append("&Signature=" + sign.urlEncoded) // 签名结果串，关于签名的计算方法，请参见签名机制
    queryString.append("&SignatureMethod=" + "HMAC-SHA1".urlEncoded) // 签名方式，目前仅支持HMAC-SHA1
    queryString.append("&SignatureVersion=" + "1.0".urlEncoded) //  签名算法版本，目前版本是1.0
    queryString.append("&SignatureNonce=" + uuid.urlEncoded) // 唯一随机数，用于防止网络重放攻击。用户在不同请求间要使用不同的随机数值
    queryString.append("&Timestamp=" + timestamp.urlEncoded) // 请求的时间戳。日期格式按照ISO8601标准表示，并需要使用UTC时间。格式为： YYYY-MM-DDThh:mm:ssZ。 例如，2013-01-10T12:00:00Z（为北京时间2013年1月10日20点0分0秒）

    /// AssumeRole Api 参数
    queryString.append("&Action=" + "AssumeRole".urlEncoded) // 描述：系统规定参数，取值：AssumeRole
    queryString.append("&RoleArn=" + arn.urlEncoded) // 指定角色的全局资源描述符(Aliyun Resource Name，简称Arn)。每个角色都有一个唯一的全局资源描述符，规定格式为 acs:ram::$accountID:role/$roleName ，一个样例：acs:ram::1234567890123456:role/samplerole 。您可以在RAM控制台的角色管理页面RAM控制台的角色管理列表中，进入角色详情页可以查看一个角色的RoleArn
    queryString.append("&RoleSessionName=" + "client".urlEncoded) // 用户自定义参数。此参数用来区分不同的Token，可用于用户级别的访问审计。

    return queryString
}
5、官网文档有提到，需要注意数据返回的线程回调顺序，以及线程的刷新问题

OSSFederationCredentialProvider

1、官方推荐的方法
2、自动刷新
3、参数只需要一个，获取服务器ststoken链接http://127.0.0.1:8002/sts/getsts，

python版创建凭证
4、获取返回的OSSFederationToken的方法需要在调用的线程中才会执行

image.png

OSSCustomSignerCredentialProvider

/// 自实现签名
func getCustomSignerCredentialProvider() -> OSSCustomSignerCredentialProvider {

    let customSignerCredentialProvider = OSSCustomSignerCredentialProvider { (contentToSign: String, errorPointer: NSErrorPointer) -> String? in
        guard let signature = OSSUtil.calBase64Sha1(withData: contentToSign, withSecret: secretKey) else {
            return nil
        }

        return String(format: "OSS %@:%@", accessId, signature)
    }

    return customSignerCredentialProvider!
}

OSSAuthCredentialProvider

编写代码更简洁的方式，只需要一个参数，能够获取凭证的链接，http://127.0.0.1:8002/sts/getsts，

图片访问链接

//  String url= http:// + Bucket + .oss-cn-shanghai.aliyuncs.com+ /你上传的资源objectKey;