假设此场景: 我正在构建可与用户上传到我的AWS S3帐户的服务。 使用我的服务的每个站点都必须有上传表单,它可以直接上传到S3。为了做到这一点,每个站点都必须使用AWS签名版本4对其上传表单进行签名。 问题是签名需要AWSAccessKeyId和AWSSecretAccessKey,我必须将其分享给我的服务用户,这是不可接受的。 我以为我可以在我身边生成所有需要的签名数据,并在用户(网站)要求时提供该数据。向第三方服务请求获取令牌是否是不好的做法?
所以问题是:是一个不好的想法,以签署上传表单网站(这将上传文件到我的S3)不得不向我的服务器请求数据签名(XHR或服务器端)?