AWS S3 预签名 URL 由于 Amplify 上的短身份验证令牌过期而过期
AWS S3 pre-signed URL expires due to short authentication token expiration on Amplify
我有一个 ReactJs 应用程序,它从 API 检索 S3 URL 并使用 Amplify Storage 库获取它的预签名版本。
这个URL是一个视频的来源,代码是这样的:
Storage.get(
outputVideoSrc,
{ expires: 43200 }
));
但我注意到,即使过期时间真的很长,大约 1 小时后视频停止播放,显示网络错误消息并中止播放。
如果我收到视频 URL 并尝试从我的浏览器访问它,我会看到类似的错误:
<Error>
<Code>ExpiredToken</Code>
<Message>The provided token has expired.</Message>
<Token-0>
...
谷歌搜索后,我发现此过期是由于身份验证令牌过期,而不是预签名 URL 本身。
但是,我需要这个 URL 工作超过 1 小时,以便用户可以长时间使用视频。
似乎无法自定义令牌在 Amplify 上的持续时间:https://github.com/aws-amplify/amplify-js/issues/2714
我也尝试过一段时间后继续重新加载视频,希望我能得到一个刷新的令牌,但是:
- 没用
- 即使有效我也需要重新加载视频,这太糟糕了UI
我有哪些替代方案可以使这项工作正常进行并且视频不会一直停止播放?
我发现修复它的唯一方法是使用 lambda 函数预先签署 URL 并使用它来解析我的架构上的 GraphQL 字段。
所以,在使用 amplify-cli 时,我添加了一个新函数
amplify function add
在此处的示例中,我将其命名为 getUrls
我的函数有一个类似这样的代码:
import boto3
from botocore.exceptions import ClientError
s3_client = boto3.client('s3')
bucket = 'my-bucket'
def handler(event, context):
print('received event:')
print(event)
urls = []
if 'typeName' in event and event['typeName'] == 'MyType' and event['fieldName'] == 'urls':
print('Requesting field keys for MyType...', event['source']['keys'])
for key in event['source']['keys']:
try:
signed_url = s3_client.generate_presigned_url(
'get_object',
Params={
'Bucket': bucket,
'Key': key,
},
ExpiresIn=86400 # 24 hours
)
print('Signed URL: ', signed_url)
if signed_url:
urls.append(signed_url)
except ClientError as e:
print('Error', e)
return urls
不要忘记为您的函数在存储桶上添加对 S3:GetObject 的权限
在 getUrls-cloudoformation-template.json
添加您的 PolicyDocument:
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::mybucket/*"
}
然后将其添加为 schema.graphql
上您的字段的解析器
type MyType @model
{
id: ID!
keys: [String!]
urls [String!] @function(name: "getUrls-${env}")
}
就是这样,当您请求字段 urls 时,它将 return 预签名 url 有效期为 24 小时,然后您可以将其更改为您想要的任何期限想要。
我有一个 ReactJs 应用程序,它从 API 检索 S3 URL 并使用 Amplify Storage 库获取它的预签名版本。
这个URL是一个视频的来源,代码是这样的:
Storage.get(
outputVideoSrc,
{ expires: 43200 }
));
但我注意到,即使过期时间真的很长,大约 1 小时后视频停止播放,显示网络错误消息并中止播放。
如果我收到视频 URL 并尝试从我的浏览器访问它,我会看到类似的错误:
<Error>
<Code>ExpiredToken</Code>
<Message>The provided token has expired.</Message>
<Token-0>
...
谷歌搜索后,我发现此过期是由于身份验证令牌过期,而不是预签名 URL 本身。 但是,我需要这个 URL 工作超过 1 小时,以便用户可以长时间使用视频。
似乎无法自定义令牌在 Amplify 上的持续时间:https://github.com/aws-amplify/amplify-js/issues/2714
我也尝试过一段时间后继续重新加载视频,希望我能得到一个刷新的令牌,但是:
- 没用
- 即使有效我也需要重新加载视频,这太糟糕了UI
我有哪些替代方案可以使这项工作正常进行并且视频不会一直停止播放?
我发现修复它的唯一方法是使用 lambda 函数预先签署 URL 并使用它来解析我的架构上的 GraphQL 字段。
所以,在使用 amplify-cli 时,我添加了一个新函数
amplify function add
在此处的示例中,我将其命名为 getUrls
我的函数有一个类似这样的代码:
import boto3
from botocore.exceptions import ClientError
s3_client = boto3.client('s3')
bucket = 'my-bucket'
def handler(event, context):
print('received event:')
print(event)
urls = []
if 'typeName' in event and event['typeName'] == 'MyType' and event['fieldName'] == 'urls':
print('Requesting field keys for MyType...', event['source']['keys'])
for key in event['source']['keys']:
try:
signed_url = s3_client.generate_presigned_url(
'get_object',
Params={
'Bucket': bucket,
'Key': key,
},
ExpiresIn=86400 # 24 hours
)
print('Signed URL: ', signed_url)
if signed_url:
urls.append(signed_url)
except ClientError as e:
print('Error', e)
return urls
不要忘记为您的函数在存储桶上添加对 S3:GetObject 的权限
在 getUrls-cloudoformation-template.json
添加您的 PolicyDocument:
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::mybucket/*"
}
然后将其添加为 schema.graphql
上您的字段的解析器type MyType @model
{
id: ID!
keys: [String!]
urls [String!] @function(name: "getUrls-${env}")
}
就是这样,当您请求字段 urls 时,它将 return 预签名 url 有效期为 24 小时,然后您可以将其更改为您想要的任何期限想要。